pedro solares elena romero directores · valeria lezama véjar 29-38 5 gobierno y riesgos de ti...
TRANSCRIPT
Tópicos Selectos de Ingeniería
Pedro Solares
Elena Romero Directores
ECORFAN®
Gobierno de tecnología de
Información
Tópicos Selectos de Ingeniería
Volumen I
Para futuros volúmenes:
http://www.ecorfan.org/bolivia/series/
ECORFAN Tópicos Selectos de Ingeniería
La serie del libro ofrecerá los volúmenes de contribuciones seleccionadas de investigadores que
contribuyan a la actividad de difusión científica de ECORFAN en su área de investigación en
Ingeniería. Además de tener una evaluación total, en las manos de los editores de la Universidad
Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca y Universidad Iberoamericana que
colaboraron con calidad y puntualidad en sus capítulos, cada contribución individual fue arbitrada
a estándares internacionales (LATINDEX-DIALNET-ResearchGate-DULCINEA-HISPANA-
Sudoc- SHERPA-UNIVERSIA-e-Revistas), la serie propone así a la comunidad académica , los
informes recientes sobre los nuevos progresos en las áreas más interesantes y prometedoras de
investigación en Ingeniería.
María Ramos · Pedro Solares · Elena Romero
Editores
Gobierno de tecnología de información
Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca, Bolvia. Julio 15, 2014.
ECORFAN®
Editores
María Ramos
Universidad Mayor Real y Pontificia San Francisco Xavier de Chuquisaca
Pedro Solares
Universidad Iberoamericana
Elena Romero
ECORFAN-Bolivia
ISBN-978-097-4857-10-7
ISSN-2007-1582
e-ISSN 2007-3682
Sello Editorial USFX: 607-8324
Número de Control TSI: 2013-01
Clasificación TSI (2014): 071514-0101
©ECORFAN-Bolivia.
Ninguna parte de este escrito amparado por la Ley de Derechos de Autor ,podrá ser reproducida, transmitida o utilizada
en cualquier forma o medio, ya sea gráfico, electrónico o mecánico, incluyendo, pero sin limitarse a lo siguiente: Citas
en artículos y comentarios bibliográficos ,de compilación de datos periodísticos radiofónicos o electrónicos. Para los
efectos de los artículos 13, 162,163 fracción I, 164 fracción I, 168, 169,209 fracción III y demás relativos de la Ley de
Derechos de Autor. Violaciones: Ser obligado al procesamiento bajo ley de copyright mexicana. El uso de nombres
descriptivos generales, de nombres registrados, de marcas registradas, en esta publicación no implican, uniformemente
en ausencia de una declaración específica, que tales nombres son exentos del protector relevante en leyes y regulaciones
de México-Bolivia y por lo tanto libre para el uso general de la comunidad científica internacional. TSR es parte de los
medios de ECORFAN (www.ecorfan.org)
Prefacio
Una de las líneas estratégicas de la mision y vision universitaria ha sido la de impulsar una política
de ciencia, tecnología e innovación que contribuya al crecimiento económico, a la competitividad,
al desarrollo sustentable y al bienestar de la población, así como impulsar una mayor divulgación en
beneficion del indice de desarrollo humano , a través de distintos medios y espacios, así como la
consolidación de redes de innovación de la investigación, ciencia y tecnología en Bolivia.
La Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca visualiza
la necesidad de promover el proceso de la investigación , proporcionando un espacio de discusión y
análisis de los trabajos realizados fomentando el conocimiento entre ellos y la formación y
consolidación de redes que permitan una labor investigativa más eficaz y un incremento sustancial
en la difusión de los nuevos conocimientos. Este volumen I contiene 10 capítulos arbitrados que se
ocupan de estos asuntos en Tópicos Selectos de Recursos, elegidos de entre las contribuciones,
reunimos algunos investigadores y estudiantes.
Carlos Nuño & Héctor Fragoso the agile model adoption in technological areas is as
important as its adoption in any area to participate in the development of software projects. The
management support is essential to lead software development projects to the expected success;
Valther Galván Ponce de León as a result they have facilitated better interactions between the
teams, bringing together people dynamically, virtual groups and teams; Jorge Garibay Orozco also
we are experiencing a new breed of IT professionals that are eager to prove their value and
communicate what the standards, frameworks and best IT practices can offer to top management
boards. There is no time to wait until executive managers, any C+ suite board member or even
senior managers can approach to IT professionals to ask for their support and commitment; Valeria
Lezama Véjar for good IT governance, it must be based on a framework of standards and
performance standards to ensure the unit IT support business objectives of the organization. The
implementation of methodologies such as ITIL, have contributed to the improvement in IT
Management. Year after year we see as more and more companies certified standards of IT Service
Management and ISO-20000 standards or Management Information Security and ISO-27000; Pedro
Solares Soto resalta la importación de las materias concernientes a TI en las organizaciones
modernas y recomienda que las decisiones estratégicas de TI estén tomadas por el nivel más alto de
los directivos; Karina Salazar Luna in this document we discuss about the importance of public
policy in Information Technology, and really know what position we are in Mexico, this article is
about a Foundation and a program they talk about how important IT in Mexico, but really we are
ready to make the most of IT? Have you wondered what do to add value in the IT job or something
better, you really know what is IT?; Isabel Mendiola Peña In this work proposes through
consultancy to provide the synergy that must exist between the business and technology providing
great VALUE in different corners of the organization through the appropriate use of IT; Adrian
Vazquez Salvador nos habla de los datos deben ser protegidos contra el mal uso como robo de
identidad, transmisiones indebidas o ilícitas o accesos no autorizados; Luis Aguilera Enríquez,
Héctor Cuevas Vargas, Jorge Rangel Magdaleno & Octavio Hernández Castorena the results
obtained provide empirical evidence that innovation activities and knowledge management have a
positive and significant impact on the competitiveness of the companies studied; Javier Ramos
González i present a brief review of the actual status in the adoption of Electronic Health Record
in Mexico. I reviewed investigation articles and official information from the main health
institutions and federal regulation.
Quisiéramos agradecer a los revisores anónimos por sus informes y muchos otros que
contribuyeron enormemente para la publicación en éstos procedimientos repasando los manuscritos
que fueron sometidos. Finalmente, deseamos expresar nuestra gratitud a la Universidad de San
Francisco Xavier de Chuquisaca en el proceso de preparar esta edición del volumen.
María Ramos
Sucre, Bolivia. Pedro Solares
Julio 15, 2014. Elena Romero
Contenido
Pag
1 Adopción de metodologías agiles de desarollo Carlos Nuño & Héctor Fragoso
1-8
2 Success case - reinventing communications through the
implementation of cisco unified communications in a bank of niche.
Innovative response to the growing demand for communications,
offering corporate efficiency and reducing costs in the process of
replacing technologies. Valther Galván Ponce de León
9-18
3 ¿Puede implementarse el Gobierno de las Tecnologías de
Información sin el Gobierno Corporativo? Jorge Garibay Orozco
19-28
4 El GobiernoTI es el único camino posible para asegurar que las
áreas de sistemas contribuyen al éxito de las empresas Valeria Lezama Véjar
29-38
5 Gobierno y riesgos de TI Pedro Solares Soto
39-54
6 IT Public Policy Karina Salazar Luna
55-62
7 Optimización de los tiempos de cálculo del proceso de negocio de
líneas de producción a través del uso de Tecnologías de Información Isabel Mendiola Peña
63-70
8 Privacidad de datos Adrian Vazquez Salvador
71-82
9 The influence of innovation activities and knowledge management
on the competitiveness of manufacturing smes: an empirical study Luis Aguilera Enríquez, Héctor Cuevas Vargas, Jorge Rangel Magdaleno & Octavio
Hernández Castorena
83-98
10 Adopción del Expediente Clínico Electrónico en México:
Revisión del Estado Actual Javier Ramos González
99-113
Apéndice A . Consejo Institucional. Universidad Mayor, Real y Pontificia de San
Francisco Xavier de Chuquisaca
114
Apéndice B . Consejo Editor ECORFAN-Bolivia 115
Apéndice C . Consejo Arbitral. ECORFAN-Bolivia 117
1
Adopción de metodologías ágiles de desarollo
Carlos Nuño & Héctor Fragoso
C. Nuño & H. Fragoso
Universidad Iberoamericana.
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia,2014
2
Abstract
The digital technologies are transforming our world as deeply as written, the changes threaten all
enterprises in all fields. Each company shouldbe reinvented or eventually go out of business.
Agile has potential for companies respond in fluid and sensitive manner as required by the
context of current digital technologies. Agile methods have been adopted in a wide variety of
organizational contexts; some methods are more suitable for certain organizational environments than
others. In this article we review aspects more important that an organization should be considered for
adopting agile software development model.
The agile model adoption in technological areas is as important as its adoption in any area to
participate in the development of software projects. The management support is essential to lead
software development projects to the expected success.
1 Introducción
Los métodos agiles de desarrollo son un grupo de metodologías de desarrollo de sistemas que
comparten una filosofía común, valores y objetivos. Su objetivo principal es entregar productos de
software de forma rápida con el mayor valor posible al cliente.
Los métodos agiles de desarrollo utilizan un proceso rápido de desarrollo iterativo e
incremental con altos niveles de comunicación y participación de los clientes.El enfoque ágil es más
orientado a las personas en lugar de los procesos. Esto significa que depende en gran medida de las
habilidades individuales .
Las dos técnicas ágiles mas populares son Extreme Programming y Scrum.
- XP es un conjunto de principios y prácticas que tiene por objeto permitir el desarrollo de
software con éxito a pesar de los requerimientos mal documentados o que cambian
constantemente, en equipos de trabajo pequeños y medianos.
- Scrum tiene como objetivo gestionar el proceso de desarrollo a través de un enfoque empírico
aplicando las ideas de control de procesos industriales en el desarrollo de software.
La cultura organizacional es una de las tareas de estudio mas importantes de la organización y es muy
importante para el éxito en la implementación de un modelo ágil en el desarrollo de software.
1.2 Desarrollo de Software ¿arte o ingeniería?
La gente dedicada al desarrollo de software, generalmente tiene una formación de Ingeniero. Un
producto de software se puede construir de muchas formas y no existe un modelo matemático que
mida la exactitud de un diseño de software, Otras disciplinas deIngenierías como la civil, química,
transporte, etc. sí cuentan con modelos matemáticos que garantizan la eficiencia de un producto.
3
En realidad un Ingeniero de Software no puede garantizar en un 100% el éxito de un producto,
existen muchos factores en las diferentes etapas de desarrollo de software que pueden afectar de forma
significativa los planes, diseños, requerimientos, etc. Lo que sí puede garantizar la calidad de su
producto.
En el desarrollo de software, el futuro no es predecible, siempre se tiene que estar dispuesto al
cambio.
Entonces ¿un desarrollador de software es artesano?.Un artesano no tiene métodos, solo se guía
a por un conjunto de buenas practicas.
1.3 Metodologías de Desarrollo Tradicionales
Las metodologías de desarrollo tradicionales consisten en realizar cada una de las etapas del proyecto
de forma independiente y lineal. En la actualizad es muy difícil documentar la totalidad de los
requerimientos al inicio de los proyectos de desarrollo que cumplan satisfactoriamente las necesidades
de los usuarios.
La metodología de desarrollo en casada tiene como principal desventaja su capacidad de
respuesta a los cambios y el tiempo que el negocio debe esperar para obtener un producto funcional.
Conforme el proyecto avanza, el costo para remediar errores de etapas anteriores suele ser muy alto,
principalmente porque el equipo de trabajo debe regresar una o mas etapa para corregir el problema.
Figura 1 Desarrollo de Software Tradicional(Consortium, 2012).
1.4 Desarrollo Ágil de Software
Una metodología ágil siempre trata de omitir todo aquello que no sirva para construir un producto,
como documentación exhaustiva e innecesaria. Es importante mencionar que ágil no es rápido y
tampoco significa calidad, al contrario es muy probable que una mala adopción del enfoque ágil resulte
el fracaso de un proyecto.
Implementar ágil, significa poner mucho énfasis en las personas, mas que en los procesos y
herramientas. Un error común en las organizaciones que trabajan con métodos agiles, es no considerar
que las personas fallan.
© Masa K Maeda
©.Winston.W.Royce.1970.
Cascada
4
A diferencia de una metodología de desarrollo tradicional, Ágil construye software de forma
iterativa, es decir el equipo de proyecto planea actividades y las ejecuta en un periodo corto de tiempo,
con el objetivo de construir entregar valor al negocio en el menor tiempo posible.
Figura 1.1 Desarrollo de Software Ágil. (Consortium, 2012)
1.5 ¿Por qué adoptar agile?
El principal problema en el desarrollo de software es la entrega de productos con todas las
características en tiempo y dentro de presupuesto. Los problemas resueltos mediante la adopción de los
métodos ágiles es la relación del cliente.
Las empresas utilizan estimaciones para el análisis de la viabilidad y de la planificación de
proyectos. Sin embargo, es difícil tener suficientes proyectos similares en los últimos años con el fin
de calcular estimaciones confiables. Los requerimientos, equipos de desarrollo, las tecnologías y las
necesidades del cliente cambian en cada proyecto, y la mayoría de los desarrolladores no se desarrollan
exactamente el mismo producto dos veces.
Para lograr construir el producto que el cliente realmente necesita, se requiere de su
participación constante en el proyecto. Esta participación implica interacción entre el cliente y el
equipo de desarrollo para tener una respuesta rápida a los cambios.
El método ágil permite que el software sea mas apegado a las necesidades del usuario. Un
usuario no tiene claras sus necesidades cuando arranca el proyecto, con Ágil el equipo de trabajo
puede explorar continuamente las necesidades del negocio y refinarlas en cada fase (iteración).
Figura 1.2 Estructura de Gestión Ágil de Proyectos (Consortium, 2012)
Ágil significa seguir los principios siguientes como parte de la filosofía de desarrollo de
software (Consortium, 2012):
- Satisfacer al cliente mediante entrega de software valioso de forma temprana y continua4
- Entregar software funcional frecuentemente4
- Dar bienvenida a cambios de requerimientos aun tarde en el desarrollo4
© Masa K Maeda
Monitoreo y control
Iniciación Planeación Ejecución Control Cierre
Iniciar el
proyecto
Planear el
proyecto
Planear la
iteración
Ejecutar la
iteración
Controlar la
iteración
Cerrar la
iteración
Cerrar el
proyectoTerminado
Adaptación
Exploración
Cierre
Visión Acción de adaptación
Característica terminada
Est ruct ura de Gest ión Ágil de Proyectos
Producto final
Plan de liberación
Especulación
Lista de características
Envision (imaginar)
© Masa K Maeda
Monitoreo y control
Iniciación Planeación Ejecución Control Cierre
Iniciar el
proyecto
Planear el
proyecto
Planear la
iteración
Ejecutar la
iteración
Controlar la
iteración
Cerrar la
iteración
Cerrar el
proyectoTerminado
Adaptación
Exploración
Cierre
Visión Acción de adaptación
Característica terminada
Est ruct ura de Gest ión Ágil de Proyectos
Producto final
Plan de liberación
Especulación
Lista de características
Envision (imaginar)
5
- Trabajar juntos diariamente durante todo el proyecto
- Rodear el proyecto con individuos motivados5
- Conversación cara-a-cara5
- Procesos agile promueven desarrollo sostenible5
- Atención continua a la excelencia técnica y al buen diseño5
- Retrospectivas5
- Simplicidad5
- Equipos auto-organizados5
- La medida primaria de progreso es el software funcional
1.6 Adoptar Ágil en Entornos Tradicionales
Es difícil para una empresa con un proceso de desarrollo tradicional, responder rápidamente a los
cambios inesperados, sobre todo si la fase de ejecución ya ha comenzado. Cada modificación corre el
riesgo de afectar el plan del proyecto y de la organización del proceso.
Es difícil mantener las variables del contrato (alcance, precio, y tiempo) fijo en el tiempo. Por
lo tanto, las empresas ágiles regulan sus relaciones con los clientes con contratos flexibles en lugar de
los fijos que predefinen funcionalidades, precio y tiempo.
Las soluciones típicas de las empresas basadas en planes, incluyen:
- Tratar de anticiparse a las necesidades que pueden cambiar con el tiempo durante la fase de
análisis.
- Crear una especificación inicial de requisitos detallados a través de documentos oficiales.
- Aplicar más restricciones en los contratos.
- Simplemente tratar de complacer al cliente y cumplir con las peticiones.
Todas estas soluciones no son satisfactorias para lograr el éxito de un producto de software.
Empresas ágiles se preocupan menos acerca de las variaciones en los requerimientos. Utilizan un
proceso iterativo, en el que el cliente puede refinar y modificar los requerimientos.
Las empresas tradicionales basadas en plan presentan el producto al final del proyecto y es
hasta ese momento cuando el cliente puede probar el producto. Esta opción maximiza el riesgo de
entendimiento de requerimientos por parte del equipo de desarrollo. Las empresas mitigan este riesgo
intentando comunicarse con los clientes para explicar los problemas de la entrega del producto y
utilizan prototipos para asignar tiempo adicional en el presupuesto como medida de precaución.
Las empresas ágiles tienen como objetivo entregar el producto final más rápido la mayor
cantidad de veces posible, a medida que el equipo de trabajo construye productos con funcionalidad de
valor para el cliente. La entrega de funcionalidad es incremental dentro de una secuencia de
lanzamientos que parece satisfacer mejor las necesidades del cliente.
6
Ambas empresas, ágiles y basadas en plan,buscanlos mejores desarrolladores. Tienen una clara
preferencia por los desarrolladores que pueden trabajar en equipo sobre los desarrolladores con alta
capacidad individual.
El éxito de un proyecto basado en métodos agiles, depende en gran medida de la experiencia de
los miembros del equipo en la metodología y disciplina de trabajo. Los equipos de trabajo se
desempeñan mejor cuando se mantienen por un periodo largo de tiempo juntos sobre los equipos de
trabajo con menos tiempo de trabajo conjunto.
La mayoría de las empresas basadas en planes de trabajo dicen conocer los métodos ágiles. Sin
embargo, muchos administradores de proyecto sólo tienen un conocimiento superficial de ellos. Las
personas (clientes y desarrolladores) no aceptan fácilmente los cambios drásticos en los entornos
tradicionales.
Las principales causas de la no adopción de métodos ágiles son el conocimiento superficial de
la disciplina, la resistencia al cambio dentro de la empresa y declientes, y los equipos grandes ó
geográficamente separados.
Sí bien las variables de entorno (requerimientos y tecnología) afectan a todos los proyectos de
desarrollo de software, el enfoque ágil pueden proteger mejor al cliente de la mayoría de los efectos
negativos.
Las áreas de desarrollo comúnmente son las promotoras del cambio organizacional para
adoptar un método ágil en el desarrollo de software. Los Ingenieros de Software consideran que es
importante entregar el mayor valor posible a sus clientes. El error que comenten estas organizaciones
es no involucrar a los clientes y partes interesadas de manera intensiva en cada una de las etapas del
proyecto.
Cuando se arranca el desarrollo de un proyecto, es importante definir los requerimientos del
proyecto de alto nivel y plantear la arquitectura y diseño marco del producto. Se recomienda que las
actividades anteriores se desarrollen en una iteración inicial (fase de investigación y marco inicial del
proyecto).
1.7 Deficiencias del Enfoque Ágil
Las organizaciones que implementen ágil, deben considerar los puntos débiles de este modelo. A
continuación se listan los mas importantes.
- El manejo de riesgos en los proyectos es ambiguo
- No tiene actividades específicas de diseño de arquitectura
- La responsabilidad no siempre es asumida como se debería
- Ignora la importancia de la relación contractual (comercial)
- Difícil para aplicar en grupos grandes (más de 10 personas)
- Los equipos de trabajo distribuidos físicamente, dificultan el entendimiento de requerimientos
y la comunicación con el cliente.
7
1.8 Conclusiones
Los métodos ágiles son cada vez más comunes en la industria de desarrollo de software actual. Las
compañías ven las ventajas de la aplicación de tales prácticas, pero es difícil cambiar la mente de
varias personas para comprender las ventajas de aplicar ágil.
Las personas son fundamentales en los métodos agiles, es importante desarrollar un modelo que
ayude a trabajar con equipos de trabajo distribuidos físicamente. Actualmente la industria de desarrollo
de software cuenta con personal especializado en diferentes ciudades y ágil aun no tiene un modelo
para trabajar proyectos distribuidos.
Ágil ha demostrado ser una excelente alternativa para los proyectos de software, y sobre todo
para proyectos donde la urgencia es alta, la creación de un espíritu de equipo, la necesidad de entrega
de productos de software que generen valor al cliente, En el mundo de hoy veo muy pocos entornos en
los que las necesidades no son urgentes.
Las experiencias y los logros de la comunidad ágil, de los cuales he tenido el privilegio de ser
parte y motor, muestran que la adopción ágil no tiene que ser ordenado desde arriba y que no necesita
ser perfecto, planificado, o regulado a fin de que pueda establecerse y prosperar.
8
1.9 Referencias
Consortium, C. (2012). Agile Conference. Paper presented at the Agile Conference, México D.F.
David, B. (2012). Beyond Mainstream Adoption: From Agile Software Development to Agile
Organizational Change.
Diane, E. S. (2009). The Impact of Organizational Culture on Agile Method Use.
Emam, H. (2009). Using Scrum in Global Software Development: A Systematic Literature Review.
Kevin, V. (2009). The Agile Requirements Refinery: Applying SCRUM Principles to Software
Product Management.
Lily, C. (2009). Adopting an Agile Culture.
Martina, C. (2005). Project Management in Plan-Based and Agile Companies, 22, 21-27.
9
Success case - reinventing communications through the implementation of cisco
unified communications in a bank of niche. Innovative response to the growing
demand for communications, offering corporate efficiency and reducing costs in
the process of replacing technologies.
Valther Galván Ponce de León
V. Galván Ponce de León
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
10
Abstract
Unified communications systems can be the key to improve business strategy reducing costs and
focusing faster and timely customer care, maintaining anytime, anywhere by connecting clients,
employees and business partners. The case details technological limitations of Consubanco who lived a
hell with their previous communications infrastructure, it caused inefficiencies in communication
processes, translated into delays in decision making, slowing down business processes and reduced
productivity. After analyzing the case and take appropriate measures to replace this technology
Consubanco managed through Cisco Unified Communications to connect employees, partners,
suppliers and customers with the information they need so. As well as access and share video on the
computer equipment of these, even if its employees were traveling, and demand, as easily as making a
phone call. As a result they have facilitated better interactions between the teams, bringing together
people dynamically, virtual groups and teams. Finally after a process of alignment with business
objectives were able to make the greatest contribution, which was to innovate in the value chain of the
business by integrating collaboration and communications into applications for the operations center of
the company, business processes (sales force) and the area of human resources.
2 Introduction
What is Unified Communications? 1
More and more often we hear the term "unified communications", but what does it mean and why
taking relevance in the telecommunication environment is. Unified Communications are all those
functional elements that today allow us to have effective communication: functions as a switch that
provides the capabilities of audio conferencing, read voicemail, email, fax, schedule work sessions on
the Internet, Sharing information among multiple users simultaneously and even the ability to interact
with various fixed and mobile devices are functional elements that could be considered within a suite
of communications.
The importance and value of unified communications is to give more control to the end user to
access simply and through intuitive interfaces to all these communication services and give ease to the
user to do so through their preferred device, either a PC, laptop, smartphone or tablet at the time and
place the user wants.
From the point of view of service providers, referring to telecommunications companies
(telcos), this implies a collective integration of technologies, to be simplified to the point that the end
user never give aware of the complexity that this may represent. However, the other user will notice
how simple and easy it is now to have a suite of communications on their devices with the ability to
improve their quality of life and business relationships with customers and suppliers.
Now it will be easier to navigate, have effective meetings anywhere in the world or make calls
when the user needs it without having to worry about time or costs. Having Internet access using these
services, now conceptualized as cloud computing possible.
1 ¿Qué son las comunicaciones unificadas?, La integración de servicios en una empresa mejora los procesos productivos,
dicen los expertos; una ‘suite’ de comunicación ya está al alcance de pequeñas y medianas empresas, Ciudad de México
(CNNExpansión)Por: Alejandro Hernández* y Julio Palacios** | Lunes, 22 de julio de 2013 a las 06:00, [En línea].
Disponible: http://www.cnnexpansion.com/opinion/2013/07/19/que-son-las-comunicaciones-unificadas
11
Access to these intelligent telecommunications is not exclusive to large corporations, now
SMEs can access without much investment or technical personnel expert. Doing so could benefit by
increasing their productivity, mobility and getting turn considerable savings.
2.1 Its implementation in a niche bank
Chedraui Group, is a leading chain supermarkets, aware of the need to bring financing to their
customers to purchase consumer goods, under the general direction of Mr. Sergio Chedraui, initiated in
2001 a financial company that called Consupago that began marketing the brand: Sistema de
CréditoPaguitos.2
With a constant thrust and direction to the 2003 Credit System Paguitos already operating
within all Chedraui stores through modules which called "Paguitos", which were given dissemination
and promotion to the appropriations offered.
The success of the brand in the first 2 years of operation, allowed the development of a new
product: personal loans through the discount via payroll, which is today the institutional business line
and the main product.
With a steady growth in 2005, Consupago makes a strategic alliance with Sherman Financial
Group, allowing them to have a serious knowledge and enhanced consumer credit market.
By 2008, there were over Consupago billion portfolio, with annual growth rates above 200%.
To become a leader in the personal loans market discount via payroll, with presence in major capitals
across Mexico through our branches solid institution, with more than 1,000 employees the
technological aspects of the collaboration between these began to be more relevant. In 2012 he
established himself as Consubanco Multiple Banking Institution and the time counting for more than
twelve years’ experience in providing financial services and offering innovative banking products onto
the market, its new Credit Cards, which provide solutions to the credit needs of many customers.
Ironically the same year (2012) given its exponential growth Consubanco began using multiple
communications platforms, making increasingly complex network and its administration, that year had
multiple falls seriously affecting service to the business. Adding to the problem , the acquisition and
merger with different companies , which increased its infrastructure causing practically having a salad
of different technologies while operating in a decentralized way ; for example had four phone systems
from different brands, a network separated geographically into four points. The business simply
demanded stability in communications bandwidth and tools to collaborate.
The limitations that were primarily dealt Consubanco direct concern to the business due to
reduced service levels in communications, combined with the constant corporate growth and
consequently taking inefficiencies in communication processes, degrading productivity of the
institution.
In late 2012 and early 2013 the IT area of Consubanco decided to take actions that allow root to
a solution to this problem and it was during this process that found that Cisco Unified Communications
offering a highly secure, high-quality experience.
This will help Consubanco to:
- Power to provide online support to their employees and their branches (Using Cisco Webex)
2 Grupo Consupago, [En línea]. Disponible: http://www.consupago.com/nosotros.php
12
- Being able to do online training and recruitment (Using Cisco Webex)
- Create extensions of the corporate network to mobile devices so that executives can be
productive anywhere
- Adapt more quickly to changes in their business
- Provide stability in communication services
- For the first time in the history of the company to offer institutional collaboration
The system of Cisco Unified Communications is part of an integrated solution that includes
network infrastructure, security, mobility, network management products, design services, planning,
operation and maintenance.
Technological innovation, which occurs with this adaptation to new technological
environments, in addition to providing functional advantages over previous forms of communication,
increasing available capacity and reduce unit costs.
“Our system with Cisco Unified Communications enabled us to have the
ability to install any communication device easily, quickly and safely. We may,
at any place of business that we have network infrastructure, provide
collaboration services through our unified communications, connecting
mobile devices, computing with Jabber, video conferencing, etc.
Met centralize communication systems by reducing the complexity of them
and allows us to exploit the full potential of tools like Jabber, also offering
added value as cost reduction, both in system administration, maintenance
and licensing respectively.
Jose Ramón Revuelta. CIO at Consubanco
13
2.2 Methodology - Technical description of the solution
To meet the expectations of Consubanco, and meet the needs that the organization seeks to meet after
several sessions of design with Cisco and one of its main trading partners (Unified Networks) the best
option chosen was based on the implementation of a Platform Communications with integrated unified
messaging system and corporate email, it had an Gateway 3925 supports up to 800 SIP sessions to the
primary site and the secondary site is a gateway 2911 which provides up to 200 SIP sessions.
The first counting up to 8 E1 ports plus 2 service modules (4 E1s more) supporting up to 730
users in survival mode SRST and the second with up to 8 E1 ports with only 1 service module two E1s
more supporting up to 50 users in SRST.
As the terminal operator 7942G, 7945G and 7962G phones are devices with full-feature in
terms of interoperability of VoIP, allow you to communicate by voice over the same data network that
uses its own equipment; can make and receive phone calls, put calls on hold, speed dial numbers,
transfer calls, make conference, and so on.
In addition to basic call-handling features, phone can provide other, in expanding these offer
increased productivity.
Figure 2 Telephone devices used
These models support multiple VoIP protocols and have an integrated Ethernet switch for
connecting their computer’s equipment and phone’s on the same network port. It also allows PoE
(Power over Ethernet - Power supply via network cable) and finally perhaps the most elegant are
capable voicemail.Latter integration with corporate email system has become a very effective when
you cannot take a call from a colleague, partner or customer collaboration element.
Add to this an implementation was performed on all computer equipment and some mobile
devices the Jabber technology which allows you to interact with instant messaging (Chat IM) and
presence. Cisco Jabber is also a VoIP softphone capabilities of HD video and desktop sharing, offers
secure and reliable communications.Finally, the Cisco WebEx Meeting Center tool that offers an
experience in real time via web conferencing experience with a set of powerful features for productive
and effective meetings anytime, anywhere and on any device is integrated.
14
2.3 Unified communications system implemented at Consubanco
Figure 2.1 Schematic telephony system (Self Reference)
Figure 2.2 Installed Unified Communications System (Self-Reference)
15
2.4 Analysis of the benefits of the implementation
Having a one-stop solution significantly increased employee productivity and reduced costs in addition
to communication between the central and corporate operations. But joined to this multiple benefits
were detected such as:
- Have an advanced call processing.
- Having an answering machine and voice messages with all the features that help improve
communication among employees and customers.
- Easy access to voicemail messages from any phone or from the corporate email.
- Having Cisco IP Communicator Softphone and Jabber, which allows employees who travel or
work from home to be communicated with any computer equipment provided by the bank.
- Have video telephony, to make a voice call, with an integrated phone software to Jabber
camcorder.
- Connectivity to the telephone line by means of analog lines (FXO) or digital links
- Have BRI or T1/E1/PRI that allows add trunking as the business grows.
Figure 2.3 Simplification through unified communications (Self Reference)
After the implementation of tools such as Cisco Webex was obtained:
- Desktop Sharing allows easily collaborate on any project, providing support and training to
online audio and video sharing.
- Share video files in real time, and incorporate multimedia into their presentations. (HD up to
720p resolution screen).
- Voice conferencing
- Recording of meetings, including session content and audio.
16
After the implementation of tools such as Cisco Jabber was obtained:
- Consubanco business being more productive, anywhere with Cisco Jabber on their mobile and
tablet devices.
- Improvement the appearance of presence, instant messaging (IM) , voice, video , voice
messaging and conferencing from anywhere.
- Provide the opportunity to join telepresence meetings when employees are away from the
office.
- Reduce delays in information real-time presence and instant messaging.
2.5 Discussions and outcomes of the Project
With the new system of unified communications of Consubanco Cisco now has a collaboration
solution consolidated voice, video, mobility messaging, conference, instant messaging (IM), presence
and capabilities contact center a single IP network.
Consubanco use these benefits to gain a competitive advantage, adapt quickly to business
changes, increase productivity, reduce costs and improve customer response. The system was fully
implemented in August 2013.
2.6 Conclusions
Today, it is important for any financial institution to have a unified communications solution that may
be able to grow the business and provide features that help save money or increase revenue to help
ensure a good ROI.
While the business of a company like Consubanco grows, the collaboration allows you to add
new employees, remote offices and teleworkers with minimal effort and expense.
Collaboration is a crucial component of any successful business. Stay connected with
customers, employees, tools and other resources enables an organization's employees perform their
work effectively counting systems that allow you to have converged voice, data and video.
Growing businesses need to be scalable and easy to use networks as small and multivendor
networks is not cost effective to add new applications and services , in addition to the complexity of
having to manage , maintain and finance multiple networks.
17
In short, if we define in a few words what Consubanco obtained by implementing unified
communications system then we’ll find:
- Convergence of voice, data and video
- Expansion of Content and devices
- Increased labor productivity
- Cut operating expenses
- Empower of their workforce
Currently offering unified with the experience to meet the needs of its users makes them more
productive and successful in their interaction with the environment of business communications.
2.7 References
Cisco Connected World Technology Report, 2012, The 2012 Cisco Connected World Technology
Report is based on a study commissioned by Cisco and conducted by InsightExpress[Online].
available: http://www.cisco.com/en/US/netsol/ns1120/index.html
Cisco Unified Communications Manager (CallManager), Cisco Unified CallManager Support
Documentation, [Online]. available:
http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-
callmanager/tsd-products-support-series-home.html
Comunicaciones Unificadas de Cisco –Implementación, Comunicaciones Unificadas, [Online].
available:
http://www.cisco.com/web/ES/solutions/ccuu/implementacion.html
1992-2011 Cisco Systems, El sector financiero se reinventa apoyado en la tecnología, a nivel de las
sucursales bancarias, [Online]. available:
http://www.cisco.com/web/LA/soluciones/strategy/financial/newsletter/edition3/article3.html
¿Qué son las comunicaciones unificadas?, La integración de servicios en una empresa mejora los
procesos productivos, dicen los expertos; una ‘suite’ de comunicación ya está al alcance de pequeñas y
medianas empresas, CIUDAD DE MÉXICO (CNNExpansión)
Por: Alejandro Hernández* y Julio Palacios** | Lunes, 22 de julio de 2013 a las 06:00, [Online].
available:
http://www.cnnexpansion.com/opinion/2013/07/19/que-son-las-comunicaciones-unificadas
APRENDA LOS CONCEPTOS BÁSICOS, ¿Qué son las comunicaciones Unificadas?,
Unified_Communications_solution_guide.pdf, Comunicaciones Unificadas de Cisco, [Online].
available:
http://web.archive.org/web/20090125002551/http://cisco.com/web/LA/soluciones/comercial/ti_comun
icacionesip.html
18
2011 Cisco and/or its affiliates, Cisco Unified Communications Scoped Planning and Design Services,
[Online]. available:
http://www.cisco.com/en/US/services/ps2961/ps2664/services_data_sheet0900aecd806abe96.pdf
2012 Cisco and/or its affiliates, Cisco Collaboration Services for Jabber, INCREASE THE IMPACT
OF CISCO JABBER ON BUSINESS INITIATIVES, [Online]. available:
http://www.cisco.com/web/services/downloads/collaboration-services-for-jabber-aag.pdf
2012 Cisco and/or its affiliates, Customer Collaboration White Paper, [Online]. available:
http://www.cisco.com/c/en/us/products/collateral/customer-collaboration/unified-contact-center-
express/white_paper_c11-626970.pdf
Grupo Consupago, [Online]. available:
http://www.consupago.com/nosotros.php
19
¿Puede implementarse el Gobierno de las Tecnologías de Información sin el
Gobierno Corporativo?
Jorge Garibay Orozco
J. Garibay Orozco
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
20
Abstract
¿IT Governance without Corporate Governance?
Usually you can´t talk about IT Governance, without talking about CorporateGovernance. In many
countries the first one relies on the second, and there is no possibility that you can really implement
such best practices without top management or board support. However in Mexico and some Latin
American countries we are experiencing this new paradigm. It seems that there is a new IT clear
objective: demonstrate what the area can do for the business, but not only to continue the “status quo”
or to run and support the basic processes of the organization, but to help institutions to be more
competitive as well as optimizing resources needed to work and innovating processes.
Also we are experiencing a new breed of IT professionals that are eager to prove their value
and communicate what the standards, frameworks and best IT practices can offer to top management
boards. There is no time to wait until executive managers, any C+ suite board member or even senior
managers can approach to IT professionals to ask for their support and commitment.
IT professionals must take initiative to present what a framework can offer to the business and
in that way participate on defining enterprise strategy.
3 Introducción
Normalmente partimos del concepto de que no podemos tener un Gobierno de Tecnología de
Información, sino tiene como sustento un Gobierno Corporativo. En el deber ser, el segundo es un
requisito indispensable para que las organizaciones apoyen la creación y buena operación de un área
de tecnología.
Hoy en día vemos casos que salen de este parámetro de operaciones. Cada vez con mayor
frecuencia encontramos algunas organizaciones que desarrollan un modelo de operaciones de TI que
cumple con los requisitos de un buen gobierno.
Sin tener el soporte de la alta dirección o una estructura organizacional que se fundamente en
un gobierno corporativo, estas organizaciones se abren paso de una manera más difícil y costosa.
México, como otros países de América Latina, parece tener este modelo de operaciones con mayor
frecuencia que las organizaciones americanas, asiáticas o europeas.
¿Es un tema de idiosincrasia, cultural o de coyuntura en un momento en el que las Tecnologías
de Información parecen ser una herramienta para profesionalizar ambientes de trabajo?
Actualmente, dadas las condiciones económicas que limitan las oportunidades para que otros
sectores puedan crecer a ritmos rápidos, las Tecnologías de Información parecen abrirse camino en un
entorno competitivo y de urgencia de entrega de resultados tratando de aprovechar y apalancar su
crecimiento en temas de innovación o de optimización de recursos. Los especialistas en TI empiezan a
ser figuras importantes en la definición de la estrategia de las organizaciones y si ese protagonismo se
mantiene podemos ver en varias instituciones un cambio de paradigma al tradicionalmente observado.
21
Hemos observado que existe una necesidad de demostrar el valor que las TI pueden aportar en
las organizaciones, lo que está orientando a los responsables de estas funciones a desarrollar modelos
de operación y gestión eficiente de los recursos tecnológicos, tratando de apegarse a los mejores
marcos de referencia de la industria. Cada vez es más común encontrar organizaciones que en su forma
de trabajo diario hacen un esfuerzo por profesionalizar la operación de las Tecnologías de
Información. Para ello hacen uso de mejores prácticas, marcos de referencia y certificaciones líderes
en los distintos mercados de especialización, desde administración de los servicios de tecnología,
seguridad de la información, análisis de riesgos tecnológicos y de negocio o inclusive en temas de
continuidad y disponibilidad en la entrega de los servicios.
Sin duda veremos en el futuro cercano una interacción más estrecha entre las áreas
responsables de las TI y las áreas de Negocio. La pregunta es sí eventualmente las primeras pueden
apoyar a que las organizaciones desarrollen modelos de Gobierno Corporativo.
3.1 Rol actual de las TI en las organizaciones
La Tecnología de Información es sin duda un habilitador de negocios en el presente y debe de ser un
área protagonista en la conformación de la estrategia de aquellas empresas que quieren ser líderes en
sus mercados o bien cuyos niveles de competitividad sean altos. Hoy en día no se puede imaginar una
empresa queriendo ser líder o permanecer en el entorno competitivo sin que use de manera estratégica
las TI.
De acuerdo a palabras de Gartner Group13, la aportación de las Tecnologías de Información
sobre el negocio puede ser en tres diferentes esquemas:
a. IT Corre el Negocio
b. IT Crece el Negocio
c. IT Transforma el Negocio
Aunque muchos responsables de áreas de Tecnologías de Información se ocupan de cumplir
con el primer modelo de operaciones identificado por Gartner, cada vez vemos con mayor crecimiento
a los CIO4de las organizaciones, que tratan de transformar el negocio, creando y comunicando el valor
que las organizaciones pueden recibir de las Tecnologías de Información. Con esta función y modo de
operación están pasando de ser simplemente operadores a estrategas dentro de la organización. Los
líderes de estas áreas no deben ser “tecnólogos”, sino especialistas en el manejo de la información y la
identificación de cómo a través de ella podemos aportar valor a las instituciones independientemente
de tamaño, giro o sector en el que participan.
3 Gartner Group es líder mundial en estudios de Mercado de TI
4 CIO: Chief Information Officer. Director de Tecnologías de Información
22
¿Cómo han evolucionado las Tecnologías de Información?
El primer intento formal de estandarizar y aprovechar el crecimiento acelerado que experimentaron los
sistemas de cómputo con el desarrollo de los microprocesadores y sistemas de cómputo apareció en la
oficina de comercio del Reino Unido (OCG).
A mediados de los años 80´s, esta oficina auspició el desarrollo de una serie de libros y
recomendaciones que trataron de organizar los servicios de tecnología de información, así nació el
marco de referencia ITIL5 (Information Technology Infrastructure Library).
Inicialmente el alcance de estas prácticas era para hacer más eficiente la gestión de servicios en
las oficinas gubernamentales del Reino Unido, pero hoy en día se usa como el estándar de mercado en
todas las organizaciones que prestan servicios de Tecnología de Información, ya sea en organizaciones
gubernamentales o privadas a nivel mundial.
ITIL ha venido evolucionando desde su creación con la versión 1, hasta la última versión
conocida como ITIL V3 2011. En estos más de 20 años de historia ITIL se ha transformado, junto con
la industria de TI, de ser un conjunto de buenas prácticas basadas en funciones a ser un conjunto de
buenas prácticas basadas en procesos y actualmente a ser un marco de trabajo de administración del
ciclo de vida de servicios.
Uno de los objetivos de este marco ha sido la alineación de los servicios de Tecnología de
Información con los objetivos estratégicos y de negocio de las organizaciones, así como las
necesidades de los clientes. A esta práctica se le conoce como ITSM6 y ha sido el núcleo central del
desarrollo del estándar ITIL.
Desde 2005 este marco de referencia sirvió como base para desarrollar una certificación que
hoy en día el mercado reconoce como una garantía de operación de administración de servicios de
clase mundial ISO/IEC 200007.
La Tecnología de Información es sin duda un habilitador de negocios en la era actual y debe de
ser un área protagonista en la conformación de la estrategia de aquellas empresas que quieren ser
líderes en sus mercados o bien cuyos niveles de competitividad sean altos. Hoy en día no se puede
imaginar una empresa queriendo ser líder o permanecer en el entorno competitivo sin que use de
manera estratégica las TI.
Las TI dejaron de tener un papel meramente de apoyo para convertirse en protagonistas de la
estrategia corporativa en las empresas. En la medida en que se entienda mejor el impacto que tienen
sobre las organizaciones, mejor se podrán conducir y por ende “gobernar” para impulsar más el trabajo
empresarial.
Uno de los retos más importantes en la actualidad es traducir este papel estratégico en valor
tangible que las áreas de TI entregan a otras unidades de negocio dentro de las organizaciones. Deben
comunicar de manera clara, precisa y cuantificable su aportación en la estrategia del negocio.
5 ITIL: Librería de Infraestructura de Tecnologías de Información
6 ITSM: Administración de Servicios de Tecnología de Información
7 ISO/IEC 20000: Sistema de Gestión de Servicios de la Organización Internacional de Estándares y del Comité
Internacional de Electrotecnia
23
3.2 ¿Y qué pasa con el Gobierno Corporativo?
Por otro lado, el Gobierno Corporativo se enfoca más a la acción de organizar y tener la dirección
sobre las estructuras de control de las empresas, de las personas y de los procesos a través de los cuáles
interactúan.
El Gobierno Corporativo se refiere a la acción de administrar y gobernar las actividades de una
organización, entendiéndola como un ente dentro de la economía de las naciones, protagonista del
desarrollo y bienestar de las sociedades, generadora de bienes y/o servicios que puedan ser adquiridos
o intercambiados.
ISACA8, a través del ITGI
9 define el Gobierno Corporativo como “Un conjunto de
responsabilidades y prácticas ejecutadas por la junta directiva y la administración ejecutiva con el fin
de proveer dirección estratégica, garantizando que los objetivos sean alcanzados, estableciendo que los
riesgos son administrados apropiadamente y verificando que los recursos de la empresa son usados
responsablemente”.
En economías emergentes como México y algunos otros países de nuestro continente, estamos
sufriendo un poco las consecuencias de la desaceleración económica de las grandes potencias como
Estados Unidos, Francia e inclusive Alemania. Las empresas en nuestra región están más preocupadas
por la subsistencia que por los crecimientos, lo cual deriva en políticas y estrategia de tratar de hacer
más con menos, privilegiar los temas de producción tradicional y ventas que el desarrollo de nuevos
productos o la optimización de procesos.
En este sentido el papel que el Gobierno Corporativo puede sumar en las organizaciones es
determinante y debe ser un motor para el crecimiento y sustentabilidad de las mismas.
En el ámbito Latinoamericano se han desarrollado también iniciativas tendientes a la
unificación de las mejores prácticas en materia de Buen Gobierno, una de las principales ha sido el
Código Iberoamericano de Buen Gobierno10
firmado en Montevideo, Uruguay en junio de 2006.
Este documento impulsa entre otros temas la necesidad de promocionar las conductas que
guíen el correcto ejercicio de las prácticas profesionales, dignificando el trabajo y la responsabilidad
pública en bien del interés general.
Entre otros aspectos y como parte de sus fundamentos proporcionan valores para el buen
gobierno de los entes públicos de los países firmantes en temas como los siguientes:
- Objetividad
- Tolerancia
- Integridad
- Responsabilidad
8 ISACA: Information Systems Audit and Control Association, organización líder internacionalmente reconocida en temas
de Gobierno de TI y de Auditoría de TI. Fundada en 1967 9ITGI: Information Technology Governance Institute, creado por ISACA en 1998
10 Firmado por primera vez en Montevideo, Uruguay en 2006 y con reuniones anuales en distintos países de América
Latina para ratificarlo y actualizarlo
24
- Credibilidad
- Imparcialidad
- Dedicación al servicio
- Transpare
-
Y aunque este código aplica para los organismos gubernamentales, también podemos trasladar
las prácticas de éstos al ambiente de las sociedades mercantiles que tienen relación con su contraparte
reguladora del lado de los gobiernos. El hecho de tener bien claras las reglas del buen gobierno en los
entes públicos, obliga a los privados a adaptarse a estas formas de trabajo para cumplir con los
lineamientos o regulaciones que los gobiernos les imponen.
En nuestro país la aportación más clara al tema del Gobierno Corporativo se desarrolló desde
1999 a través de un documento firmado por varias empresas privadas llamado Código de Mejores
Prácticas Corporativas11
. Actualmente está vigente la versión del 2010.
En este documento se define que la función del Consejo de Administración es la definición de
la visión estratégica, así como la vigilancia de la operación y gestión de la organización, cuya
responsabilidad es del Director General, a través de las estrategias que él mismo establece con su
equipo directivo. Se establecen también algunos principios básicos como: Emisión y revelación
responsable de la información, transparencia en la administración, identificación y control de riesgos
de la organización, cumplimiento de regulaciones, entre otros.
En la última versión se busca entre otras cosas, apoyar a las empresas a ser institucionales,
competitivas y permanentes en el tiempo. Los principios marcados en este código, si bien no son
obligatorios, si consideran que su apego y aplicación representan una ventaja competitiva para las
organizaciones que las adopten.
Por estos antecedentes resultaría claro que las organizaciones deberían forzosamente tener
primero un Gobierno Corporativo, para que desde ahí se buscara la creación y operación del Gobierno
de Tecnología de Información.
¿Funciona así en la realidad?
3.3 Gobierno de TI sin Gobierno Corporativo
Hemos visto que en muchas organizaciones las Tecnologías de Información están cambiando y
transformando la razón de ser de la misma institución. Esto pasa no solamente en el sector privado,
sino también en el sector público en nuestro país en donde hay claras muestras del avance del segundo
sin tener necesariamente un desarrollo o una plataforma en la alta dirección que la soporte.
Considerando que las últimas administraciones federales o estatales en México no han tenido la
continuidad en los planes de desarrollo sexenales que presentan, ni consistencia en muchas de las
políticas o reformas a los distintos sectores que se han presentado, resulta un poco extraño que las
áreas de TI de algunas dependencias se han fortalecido en esta práctica y han demostrado que se
pueden gobernar las TI sin que exista un Gobierno Corporativo claro en dichas instituciones.
11
CCE Consejo Coordinador Empresarial, compuesto por 7 miembros permanentes, entre ellos Cámaras Nacionales de
distintas industrias y 5 invitados permanentes
25
Algunas dependencias a nivel Secretaría de Estado, así como Gobiernos Estatales, realmente
operan y usan a las TI como un ente habilitador de su estrategia, transformando la forma de entregar
servicios y atender a la población en los servicios que ofrecen.
La gente como uno de los vértices en los proyectos de Tecnologías de Información están
definiendo la importancia que ésta área reviste para la organización y no están esperando que la alta
dirección establezca una mejor práctica o implemente un marco de Gobierno Corporativo que soporte
a su vez el Gobierno de TI.
Por ello la importancia del liderazgo que el responsable de las TI tenga dentro de la
organización, de manera que pueda incidir en los asuntos importantes de las instituciones y por lo
mismo en la definición de estrategias que serán soportadas por una buena operación y entrega de
servicios de Tecnología de Información.
De acuerdo al ITGI12
, el Gobierno de TI se define como “Una responsabilidad de la junta
directiva y la administración ejecutiva.Una parte integral del gobierno corporativo y consta del
liderazgo, estructuras organizacionales y procesos que garantizan que la TI de la empresa sustenta y
extiende las estrategias y objetivos organizacionales”
De acuerdo a este Instituto (Máxima autoridad reconocida en el medio sobre Gobierno de TI),
las 5 partes integrales que componen este gobierno son: Alineación estratégica, administración de
riesgos, entrega de valor, administración de los recursos y medición del desempeño.
En su informe Global13
del 2011 realizado en 21 países dentro de 10 sectores diferentes, se
llegaron a algunas conclusiones importantes entre las que destacan las siguientes:
12
ITGI: Information Technology Governance Institute, creado por ISACA en 1998 13
ITGI Global Survey Results 2011, publicado en 2012
GENTE
TECNOLOGÍA PROCESOS
Los proyectos de Tecnología de
Información consideran la participan de
3 actores fundamentales: Gente,
Procesos y Tecnología (las 3 P en
inglés). Sin duda los 3 son importantes,
pero el liderazgo que demuestren los
CIO, definirá el papel estratégico que
tendrán dentro de la organización, en el
marco del Gobierno de TI y
eventualmente Gobierno Corporativo.
26
- 55% del total de encuestados afirman que las TI tienen un papel pro activo dentro de su
organización
- Las TI son importantes en la definición y soporte de la estrategia de la organización
- El área de TI ayuda a la selección de prioridades de atención de proyectos y priorización de
implementaciones
- Tecnología de Información ayuda a la reducción de costos y a hacer más competitiva la
organización
- A través de TI se hace un análisis consciente de los riesgos del negocio y de las oportunidades
de crecimiento aprovechando nuevas tecnología
- Oportunidad de innovación para competitividad en épocas de crisis económicas.
- Ayuda en el uso de marcos de referencia y estructuras para creación y operación de una
arquitectura empresarial
Con todo ello, el Gobierno de las Tecnologías de Información está jugando un papel decisivo
en las economías de las empresas que realmente quieren seguir siendo competitivas en su sector, así
como de las organizaciones públicas que emplean este marco de trabajo estructurado de las TI para
apoyar o cimentar el crecimiento de sus organizaciones.
En México en el sector privado hay varios ejemplos de organizaciones que están operando con
un buen esquema de Gobierno de Tecnología de Información, de manera que los responsables de estas
áreas ayudan al logro de los objetivos de la empresa sin necesariamente tener el respaldo de la alta
dirección o sin contar con un esquema de Gobierno Corporativo.
Tanto empresas del sector Financiero, de Manufactura, Retail como de Telecomunicaciones o
de Servicios, entre otras, sufren de problemas estructurales para operar bajo un esquema de Gobierno
Corporativo, sin embargo, las áreas de TI son exigidas a prestar un servicio no sólo operativo, sino que
por iniciativa propia, en la mayoría de los casos, asumen un rol pro activo en la definición de las
actividades que apoyarán la estrategia de la empresa y aportarán valor a la misma.
3.4 Conclusiones
En los siguientes años veremos un crecimiento en número y áreas de influencia de la participación de
profesionales de las TI que estarán encabezando esfuerzos de poner estructura y visión estratégica
dentro de las organizaciones.
Hoy en día, motivados por los cambios económicos, sociales y de interacción con la
aparición/proliferación de redes sociales o plataformas nuevas de comunicación hace imprescindible
que las áreas de TI tomen ese liderazgo y actúen como facilitadores en la creación de estructuras más
profesionales en las empresas (Gobierno Corporativo) que las hagan más eficientes y competitivas.
27
El futuro ya nos alcanzó y la velocidad de los cambios y la adaptabilidad a los mismos serán 2
de los factores que hagan continuar y le den sustentabilidad a las organizaciones o serán el factor que
las condene a la desaparición.
De acuerdo a las teorías de la evolución de Darwin14
las especies que sobreviven no son las
más grandes, inteligentes o rápidas; sino las que tienen la capacidad de adaptarse a los cambios, a los
nuevos entornos. En ese sentido las organizaciones que veremos en el futuro serán aquellas que tengan
esa capacidad de poder afrontar los retos y las condiciones que los mercados locales y globales les
demandarán.
El Gobierno de TI es una herramienta poderosa para lograr esto y no puede esperar a que las
empresas o instituciones públicas adopten un esquema de Gobierno Corporativo para soportarlo.
14
Charles Darwin, El Origen de las Especies, 1957
28
3.4 Referencias
Cadbury, Adrian 1992 Comité de Aspectos Financieros de Gobierno Corporativo
Consejo Coordinador Empresarial. Mejores Prácticas Corporativas, 1999
Hunter, Richard y Westerman, George, The Real Business of IT, Harvard Business Press, 2009,
PrimeraEdición
IT Governance Institute, IT Governance Global Survey Results, 2011
IT Governance Institute, Deloitte &Touche. Reunión Informativa del Consejo sobre Gobernabilidad de
TI, 2001
Norma ISO/IEC 38500:2008. Corporate Governance of Information Technology, Junio 2008
Norma ISO/IEC 31000 Risk Management, Principles and Guidelines, Noviembre 2009
Países Iberoamericanos. Código Iberoamericano de Buen Gobierno, 2006
Países Iberoamericanos. Carta Iberoamericana de Gobierno Electrónico, 2007
Weill, Peter y Ross, Jeanne, IT Governance, Harvard Business School Press, Junio 2004,
Primeraedición.
Kaplan, Robert S.; David P. Norton,The Balanced Scorecard: Translating Strategy into Action,
Harvard University Press, PrimeraEdición, 1996
29
El GobiernoTI es el único camino posible para asegurar que las áreas de sistemas
contribuyen al éxito de las empresas
Valeria Lezama Véjar
V. Lezama Véjar
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
30
Abstract
Today, Information Technology (IT) are used in multiple models and business processes in
organizations belonging to both public and private sector, have thereby neglected the idea that
technology is expensive and little investment profitable. The reality is that, who does not insert as an
organization in the technology world is destined to succumb.
For good IT governance, it must be based on a framework of standards and performance
standards to ensure the unit IT support business objectives of the organization. The implementation of
methodologies such as ITIL, have contributed to the improvement in IT Management. Year after year
we see as more and more companies certified standards of IT Service Management and ISO-20000
standards or Management Information Security and ISO-27000.
4 Introducción
Hoy en día las Tecnología de la Información (TI), son utilizadas en múltiples modelos y procesos de
negocios en organizaciones que pertenecen al sector tanto público como privado, con ello han dejado
de lado la idea de que la tecnología es cara y una inversión poco rentable. La realidad es que, quién no
se inserte como organización en el mundo de las tecnologías está destinado a sucumbir.
Para un buen Gobierno de TI, éste debe apoyarse en un marco de estándares y normas de
comportamiento para garantizar que la unidad de TI soporte los objetivos de negocio de la
organización. La implantación de metodologías como ITIL, han contribuido a la mejora en la Gestión
de TI. Año tras año observamos como cada vez hay más empresas certificadas en normas de Gestión
de Servicios de TI como ISO-20000 o normas de Gestión de la Seguridad de la Información como
ISO-27000.
4.1 Gobierno de TI
El término Gobierno de TI, toma fuerza, se trata de la incorporación de una nueva visión sobre las
perspectivas de TI, en cuanto a la dirección, estrategias, decisiones y supervisión del estado actual o
futuro de la implementación y uso de las TI, es decir, una visión desde el negocio frente a las
exigencias de la tecnología. Se trata además de que el Gobierno TI, sea el parteaguas de proyectos
tecnológicos, evidentemente con objetivos estratégicos que sean de interés para la organización que lo
va a desarrollar. Con la clara y firme visión de que los resultados pondrán a la organización a la
vanguardia de la competitividad necesarias en este momento.
Se debe considerar que el personal encargado de desarrollar en la organización, el Gobierno
TI, lo hagan bajo un estricto marco de estándares y normas de comportamiento a fin de garantizar que
la Unidad de TI, cumpla con los objeticos del negocio que lleva a cabo la organización. Cabe
mencionar que la implantación de metodologías como ITIL, han contribuido a la mejora de la Gestión
de TI, resultado de lo anterior es que la existencia de más empresas certificadas en normas de Gestión
de Servicios de TI como ISO-20000 o normas de Gestión de la Seguridad de la Información como
ISO-27000.
31
Figura 4
4.2 Áreas
1. Alineamiento estratégico, se centra en:
Asegurar la conexión e integración del negocio con los planes de TI.
Definir, mantener y validar las propuestas de valor de TI.
Alinear las operaciones de TI con las de la empresa.
Obtener mejor alineación que la competencia.
2. Entrega de valor se refiere a:
Ejecutar las propuestas de valor durante el ciclo de entrega, asegurando que TI entrega los beneficios
relacionados con la estrategia del negocio, concentrándose en optimizar costes y proporcionar el valor
intrínseco a la TI.
3. Gestión del Riesgo requiere:
- Concienciación por parte de la alta dirección.
- Comprender la necesidad del cumplimiento con los requisitos.
- Transparencia en el tratamiento de los riesgos más significativos.
- Integrar las responsabilidades de la gestión de riesgos en la organización.
- Clara comprensión de la apetencia de riesgo de la organización.
32
4. Gestión de Recursos, se centra en:
Organizar de manera óptima los recursos de TI de forma que los servicios que
los requieran los obtengan en el lugar y momento necesarios.
Alinear y priorizar servicios y productos existentes de TI que se requieren para
apoyar las operaciones del negocio.
Controlar y monitorizar los servicios TI propios y de terceros.
5. Medición del Rendimiento, sigue y controla:
- La estrategia de la implantación.
- La estrategia de los proyectos.
- El uso de los recursos.
- El rendimiento de los procesos.
- La entrega de los servicios utilizando BSC.
Sin una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es muy probable
que fallen.
Figura 4.1
33
4.3 Principales Foros de Gobierno TI
- ITGI (Information Technology Governance Institute): www.itgi.org
- ISACA (Information Systems Audit and Control Association):www.isaca.org
Respecto a las metodologías, no existe una metodología unificada para la Gobernanza de TI.
Existen metodologías que ayudan y facilitan un buen Gobierno de TI, destacando
principalmente (ITIL) y (CoBIT) por los años que llevan incorporando las mejores prácticas en
Gestión y Gobierno de TI.
Mejora la práctica en la administracion de proyectos y en la creación de procesos que los llevan
a consolidar sus proyectos:
4.5 Information Technology Infraestructure Library “ITIL”
Desarrollada a finales de 1980, ITIL, es ahora uno de los estándares mundiales de facto en lo que
respecta a la gestión de servicios informáticos, en amplios sectores de diversas organizaciones. ITIL,
está siendo utilizado en el mundo gracias a que es un software de libre utilización Por ejemplo su la
tercera versión de ITIL, tiene como objetivo integrar las TI, con el negocio incorporando mejores
prácticas para el Gobierno TI; bajo un punto de vista 100% estratégico reforzándolo con la ampliación
de los procesos de Estrategia de Servicio.
34
4.6 ¿Qué es ITIL?
- Es una guía no propietaria de Mejores Prácticas para la Gestión de Servicios de TI (IT Service
Management).
- Aplicable a todo tipo de organizaciones.
- Desarrollado por OGC en el Reino Unido en los 80’s.
- Desde los años 90 es el “estándar de facto” para ITSM.
- Lo actualizan los foros (itSMFs)
Además, tiene su base en el concepto de
ciclo de vida de servicios y su estructura de
compone de cinco fases. Estrategia, diseño,
transición, operación y mejora.
-
35
Figura 4.2
Buenas prácticas “COBIT”
Figura 3
4.7 Objectives for Information and related Technology “COBIT”
La guía de negocio que realiza Cobit, tiene que ver con la vinculación de las metas del negocio con las
metas de TI, este es un punto clave que no podemos dejar de lado, es así como a través de métricas y
modelos de madures para medir los logros, e identificar las responsabilidades que se asociación a los
procesos de empresa y por supuesto de TI.
La orientación de negocios Cobit, “Objectives for Information and related Technology”,
(Objetivos de Control para tecnología de la información y relacionada), es una metodología aceptada
mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los
riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y
evaluar el gobierno sobre TI; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Además permite a las organizaciones aumentar su valor TI, reduciendo en forma significativa
los riesgos asociados a proyectos tecnológicos. A partir de parámetros generalmente aplicables y
aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de
Información.
COBIT también contribuye a reducir las brechas existentes entre los objetivos de la
organización, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un
proyecto TI; proporcionando un marco referencial para su dirección efectiva.
Su versión número 5, es aceptada internacionalmente, como una buena práctica en el control de
la información, integrada por de 34 objetivos de control de alto nivel, uno para cada uno de los
procesos de TI, agrupados en cinco dominios.
- Evaluar, Dirigir y Monitorear (Dominio de Gobierno TI)
- Alinear, Planear y Organizar
- Construir, Adquirir e Implementar.
36
- Entregar Servir y Soportar
- Monitorear y Evaluar
4.8 Evolución COBIT
Figura 4.3
Existen también, marcos de trabajo que tratan más específicamente algunos aspectos relativos
al Gobierno de las TI. Entre ellos:
- Val IT que se concentra en la gestión del portfolio de iniciativas de TI, para generar valor a la
organización y proveer un marco de trabajo para el gobierno de las inversiones en TI.
- RISK IT establece un marco de trabajo para las organizaciones para identificar, gobernar y
administrar los riesgos asociados a las iniciativas en TI.
Es una buena noticia la integración de los diferentes marcos y metodologías de Isaca (Val IT,
Risk IT, BMIS, ITAF y Board Briefing), así como conectar con el resto de iniciativas y estándares
aceptados en la comunidad deTI (ITIL, ISO, etc.), será difícil tener un único marco de trabajo que nos
sirva para todo, dada la complejidad de los aspectos de la Gobernanza de TI.
Sin duda el Gobierno de TI, es una estructura de relaciones y procesos para dirigir y controlar
que la empresa alcance sus metas, dando valor mientras equilibra el riesgo vs el retorno sobre TI.
GOBIGIGIG
37
Las TI, deben ser gobernadas por las buenas o mejores prácticas que deben ajustarse a las
necesidades de cada organización, aplicándolas basándose en la experiencia y el sentido común
4.9 Conclusión
El Gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar que la empresa
alcance sus metas, dando valor mientras equilibra el riesgo vs el retorno sobre TI.
Las TI deben ser gobernadas por las buenas o mejores prácticas que deben ajustarse a las
necesidades de cada organización, aplicándolas basándose en la experiencia y el sentido común.
38
4.10 Referencias
TCP, Gobierno IT, http://www.tcpsi.com/servicios/gobierno_ti.htm
Mejores Practicas en Gestión de Servicios de TI, Horacio Lago, Octubre 2010
Como aplicar las mejores practicas de servicios IT, Angélica Guzmán Murcia, Aranda Software,
http://www.arandasoft.com
Metodologías y Normas para gobierno de TI, Federico González, IEEE,
http://www.sites.ieee.org/spain-tmc/.../metodologias-y-normas-para-gobierno-de-ti-2/
Novedades de COBIT 5.0, Pepe jose, Julio 2012,
http://securityinformationpepe.blogspot.mx/2012/07/novedades-de-cobit-50.html
ISO/IEC-38500 (http://www.iso.org/iso/catalogue_detail?csnumber=51639)
ITIL http://www.itil-officialsite.com/
COBIT https://www.isaca.org/Pages/default.aspx
ITGI (Information Technology Governance Institute), www.itgi.org
ISACA (Information Systems Audit and Control Association), www.isaca.org
39
Gobierno y riesgos de TI
Pedro Solares Soto
P. Solares
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
40
Abstract
The term "governance" describes the ability of an organization to control and regulate their own
performance in order to avoid conflicts of interest, related to the division between the beneficiaries and
the IT Governance actors. Derived from Corporate Governance, and mainly on the relationship
between business and IT management of an organization. Highlight the import of matters concerning
IT in modern organizations and recommends that strategic IT decisions are made by the highest level
of directives. The Institute of Information Technology Governance (ITGI) was established in 1998 by
the Audit Association and Control Information Systems (ISACA) in order to advance international
thinking and standards in directing and controlling the information technology companies. According
to ITGI IT governance is regarded as critical and as a management discipline within public or private
companies. Effective IT governance helps to supports the business goals, maximizes business
investment in IT, and appropriately manages IT-related opportunities and risks. These risks include
legal and financial consequences for non-compliance with financial corporatives laws. The main
objectives of IT Governance are: (1) ensuring that investments in IT generate business value and (2)
mitigate the risks associated with IT. This is achievable through the implementation of an
organizational structure with well-defined roles for information functions, business processes,
applications, infrastructure, etc.. They have several best practices, standards, certifications and
government IT risks.
5 Introducción
Un concepto importante para el alineamiento de la Tecnología de Información (TI) con el Negocio es
Gobierno o Gobernanza de TI. Gobierno se basa en la palabra del Latín 'gubernare' (dirigir o
conducir), por lo tanto es el conjunto de responsabilidades y prácticas ejercitadas por la junta y la
dirección ejecutiva con las metas de proporcionar dirección estratégica, asegurar que los objetivos sean
alcanzados, determinar que los riesgos se gestionen de forma apropiada y verificar que los recursos de
la empresa se asignen y aprovechen de manera responsable.
El Gobierno de TI se define como una disciplina relativa a la forma en la que la alta dirección
de las organizaciones dirige la evolución y el uso de las tecnologías de la información. Se considera
una parte del denominado "Gobierno Corporativo", centrada en el rendimiento, riesgos y control de las
Tecnologías de Información.
El IT Governance Institute de ISACA describe: "El Gobierno de TI como la responsabilidad
del Consejo de Administración y la alta dirección. Es una parte integral del Gobierno corporativo y
consiste en que el liderazgo, las estructuras organizativas y los procesos aseguren que la TI sostiene y
extiende los objetivos y estrategias de la Organización"15
. Por tanto, el Gobierno de TI tiene que ver,
sobre todo con la capacidad de la toma de decisiones, la supervisión y el control de las tecnologías de
información.
15
IT Governance Institute, [En línea]. Disponible en http://www.isaca.org/About-ISACA/IT-Governance-
Institute/Pages/default.aspx; Internet; accesado el 1 de Abril de 2014.
41
5.1 Gobierno de TI
Actualmente, los sistemas de Gobierno de las TI (IT Governance) se encuentran implantados con éxito
en otros sectores (banca, seguros, industria, etc.) alcanzando una madurez de 2,67 sobre 5 en la escala
propuesta por el IT Governance Institute (ITGI). También se están incorporando al gobierno de las TI
universidades de todo el mundo, y según el estudio realizado por Yanosky y Borreson (2008) ya
alcanzan una madurez de 2,30 sobre 5, lo que significa que las universidades se encuentran todavía en
una situación incipiente y en proceso de maduración.
Los elementos que favorecen la efectividad del gobierno de las TI no suelen ser estructurales o
relacionados con los procedimientos sino que están relacionados con las personas: el apoyo de los
directivos, las destrezas y las capacidades personales y la participación e implicación de todos los
grupos de interés.
La administración de las TI se vuelve cada vez más compleja pero al mismo tiempo crece en
importancia; según Dahlberg y Kivijarvi (2006), algunos de los motivos son:
- La dirección desearía mejorar la rentabilidad del uso de sus recursos de TI. Quiere asegurar que
las inversiones en TI proporcionen valor a su negocio y estén alineadas con la consecución del
resto de objetivos de la organización.
- Se demandan informes que establezcan cual es la mejora en relación con las TI y se necesita
que las TI cumplan con las nuevas necesidades de gestión de la organización.
- La gestión corporativa y las acciones de medida del desempeño han liderado la petición de que
las TI deberían gestionarse con prácticas similares a las que se utilizan para otras funciones,
como puede ser el Cuadro de Mando Integral (CMI) o el apoyarse en proveedores en relación
con la estrategia de la organización.
- Los proveedores de servicios TI y sus usuarios deben medir y gestionar los niveles de servicio,
costos, riesgos, etc, de los servicios TI.
Las mejores prácticas de Gobierno de TI son: la ISO 38500, COBIT (Objetivos de Control de
TI) 5.0 y la Certificación CGEIT
5.2 ISO 38500
La norma ISO/IEC 38500, define el Gobierno de TI como El sistema mediante el cual se dirige y
controla el uso actual y futuro de las tecnologías de la información. Los autores Peter Weill y Jeanne
Ross, en su libro IT Governance, menciona la siguiente definición: "Especificación de las capacidades
decisorias y el marco de rendición de cuentas para estimular las conductas más adecuadas en el uso de
las tecnologías de la información" 16
.
Con base en la definición, la norma empieza dejando claro que el gobierno de las TI no es un
elemento aislado sino que “es un sistema”, conformado por diferentes elementos “estrategias y
políticas” , cada uno de los cuales tiene valor por sí mismo y el valor del sistema que los integra es
mayor que el valor de la suma de sus partes (pensamiento sistémico).
16
Peter D. Weill and Jeanne W. Ross, IT Governance. Harvard Business Review Press. U.S.A. 2004.
42
El gobierno de las TI sirve para “dirigir y controlar”, entendiendo el primer termino por tomar
decisiones y planificar su ejecución y el segundo como supervisión y evaluación de los resultados.
“Se refiere al uso actual y futuro de las TI porque los directivos de la organización se tienen
que asegurar que controlan los sistemas en funcionamiento pero no deben olvidarse de disponer de un
plan para su funcionamiento futuro y para integrar nuevas tecnologías. Los planes de TI deben dar
soporte al plan de negocio de la organización y su meta debe ser alcanzar los objetivos establecidos o
lo que es lo mismo buscar el alineamiento con los objetivos de negocio”17
.
Para la implementación de Gobierno de TI se recomienda la norma ISO/IEC 38500 publicada
en el mes de junio del año 2008, teniendo como “objetivo principal el proporcionar un marco de
principios para que la dirección del negocio se base en ésta para evaluar, dirigir y monitorear el uso de
las Tecnologías de la Información; sus principios son”18
:
- Responsabilidad. Todos tienen que comprender y aceptar sus responsabilidades en la oferta o
demanda de TI.
- Estrategia. La estrategia de negocio de la organización tiene en cuenta las capacidades actuales
y futuras de las TI.
- Inversión. Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis
apropiado y continuo, con decisiones claras y transparentes.
- Rendimiento. La TI está dimensionada para dar soporte a la organización, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
- Cumplimiento. La función de TI cumple todas las legislaciones y normas aplicables.
- Conducta Humana. Las políticas de TI, prácticas y decisiones demuestran respeto por la
conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente
involucrada.
- El establecimiento de responsabilidades. A las personas competentes para la toma de
decisiones.
- Alineamiento. De las TI con los objetivos estratégicos de la organización.
- La inversión. En bienes de TI adecuados.
- Adquisición. Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis
apropiado y continuo, con decisiones claras y transparentes.
- Conformidad. La función de TI cumple todas las legislaciones y normas aplicables. Las
políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.
17
ISO 38500. [En línea]. Disponible en http://www.iso.org/iso/pressrelease.htm?refid=Ref1135, accesado el 30 de abril de
2014 18
Ibídem.
43
De la misma manera, ésta norma se aplica al gobierno de los procesos de gestión de las
tecnologías de la información en todo tipo de organizaciones que utilicen (hoy en día casi un 100%),
facilitando las bases para la evaluación objetiva del Gobierno de TI.
“Principios de Gobierno de las TI de la norma ISO 38500 Adaptado de ISO 38500 2008 ” .
- Responsabilidad. Establecer las responsabilidades de cada individuo o grupo de personas
dentro de la organización en relación a las TI.
- Estrategia. Hay que tener en cuenta el potencial de las TI a la hora de diseñar la estrategia
actual y futura de la organización.
- Adquisición. Las adquisiciones de TI deben realizarse después de un adecuado análisis y
tomando la decisión en base a criterios claros y transparentes. Debe existir un equilibrio
apropiado entre beneficios, oportunidades, coste y riesgos, tanto a corto como a largo plazo.
- Desempeño. Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel de
calidad requerido por la organización.
- Cumplimiento. Las TI deben cumplir con todas las leyes y normativas y las políticas y los
procedimientos internos deben estar claramente definidos, implementados y apoyados.
- Factor humano. Las políticas y procedimientos establecidos deben incluir el máximo respeto
hacia la componente humana, incorporando todas las necesidades propias de las personas que
forman parte de los procesos de TI.
El estándar hace énfasis en el rol fundamental de los Directivos que está en el establecer las
políticas y estrategias así como en la monitorear la gestión del cumplimiento con la legislación y
normas internas y externas existentes y el rendimiento de los recursos utilizados.
También la norma reconoce que no hay unas grandes expectativas de que los Directivos tengan
una gran especialización técnica, por lo que sus decisiones se basarán en el asesoramiento que
procederá de sus ejecutivos y de fuentes externas. En aquellos aspectos en los que la TI es crítica para
la organización sería factible que los Directivos obtuvieran opiniones independientes de la misma
manera que la auditoria financiera es una actividad rutinaria para una gran cantidad de organizaciones.
5.3 Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa: COBIT 5.0
“COBIT Objetivos de Control para las Tecnologías Relacionadas con la Información 5.0 provee de
un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la
gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor
óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los
niveles de riesgo y el uso de recursos.
44
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la
empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad
de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas.
COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin animo de
lucro o del sector público”19
.
“COBIT 5.0 es un marco de referencia único e integrado porque”20
:
- Se alinea con otros estándares y marcos de referencia lo que permite usarlo como el marco
integrador general de gestión y gobierno.
- Es completo en la cobertura de la empresa, ofreciendo una base para integrar de manera
efectiva otros marcos, estándares y prácticas utilizadas.
- Proporciona una arquitectura simple para estructurar los materiales de guía y producir un
conjunto consistente.
- Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA.
COBIT 5 ofrece principios, prácticas, herramientas analíticas y modelos globalmente aceptados
para ayudar a los directivos de negocio y de TI a maximizar la confianza en el valor de sus activos
tecnológicos y de información.
Empresas de todo el mundo necesitan una guía para gobernar, gestionar y asegurar la obtención
de valor a partir de las vastas cantidades de información que manejan y las rápidamente cambiantes
tecnologías que emplean. COBIT 5 ofrece una guía para las empresas en la toma de decisiones
eficaces, considerando las necesidades de los diferentes grupos de interés.
COBIT 5 tiene la característica de ser adaptado a todos los modelos de negocio, entornos
tecnológicos, sectores, geografías y culturas corporativas. Es factible de aplicarse a:
- La seguridad de la información.
- La gestión del riesgo.
- El gobierno corporativo y la gestión de las TI de la empresa.
- Las actividades de revisión y garantía.
- La conformidad legal y regulatoria.
- El tratamiento de datos financieros o de información sobre RSC.
COBIT 5 dota a los profesionales de las herramientas y técnicas definitivas para gobernar las
TI corporativas con un enfoque de negocio. El marco COBIT 5 simplifica los retos a los que se
enfrenta el gobierno corporativo con tan sólo cinco principios y siete familias de catalizadores.
Asimismo, integra otros enfoques y modelos como TOGAF, PMBoK, Prince2, COSO, ITIL, PCI DSS,
19
Un marco de negocio para el gobierno y la gestión de las TI de la empresa, [En línea]. Disponible en
http://www.isaca.org/COBIT/Documents/COBIT5-Framework-Spanish.pdf, accesado el 29 de abril de 2014. 20
Un recorrido por COBIT 5.0, [En línea]. Disponible en
http://www.isacacr.org/archivos/UN%20RECORRIDO%20POR%20COBIT%205%20%2019-06-13.pdf, accesado el 29 de
Abril de 2014.
45
la Ley Sarbanes-Oxley y Basilea III.
5.4 Certificación en Gobierno de TI
La acreditación CGEIT (, orientada a los profesionales implicados en el Gobierno Corporativo de las
TIC en las Empresas [y otros organismos/entidades]. El Gobierno de TI ha defendido siempre la
naturaleza fronteriza del Gobierno Corporativo de TI: es una responsabilidad de los órganos de
gobierno y de alta dirección de las organizaciones; pero en su desarrollo y puesta en marcha tienen un
papel fundamental los responsables y especialistas de TI. Tomando esta afirmación como punto de
partida, la certificación CGEIT esta dirigida a los consejos de administración o a equipos de alta
dirección de empresas u organizaciones.
En el momento de su creación, ISACA declaraba que CGEIT esta orientado, tanto a la gente de
negocio, como a la de TI, a comprender la contribución que las TI realizan a la generación de valor
para las organizaciones. Los contenidos en el cuerpo de conocimiento de “CGEIT son: 1 marcos de
referencia para el Gobierno Corporativo de TI, (2) alineamiento estratégico de TI con el negocio, (3)
aporte de valor por parte de TI, (4) gestión del riesgo vinculado a TI, (5) gestión de los recursos de TI
y 6 medida del rendimiento de la propia función de TI”21
.
Los contenidos permiten definir la certificación CGEIT, como una certificación profesional
afín al CIO y a su “círculo de confianza” equipo de colaboradores ; esto es, una certificación
profesional que se adapta perfectamente a los perfiles profesionales de aquellos individuos que
intervienen en la buena marcha del Gobierno Corporativo de TI, desde el lado de la oferta: CIO,
miembros de oficinas del CIO, encargados de la planificación estratégica de TI, de la gestión de la
cartera de TI, de la gestión de los riesgos corporativos derivados del uso de las TI, encargados del
márketing de TI, etc.
“El programa CGEIT apoya las crecientes demandas y reconoce el amplio rango de
profesionales cuyo conocimiento y aplicación de principios de Gobierno de TI son claves para el éxito
de un programa de gestión. La certificación es sinónimo de excelencia y ofrece un número de
beneficios tanto a nivel profesional como personal, constituyendo una ventaja competitiva para”22
:
Las Empresas y Organizaciones:
- Establecer un estándar de mejores prácticas, añadiendo credibilidad y reconocimiento.
- Proveer una orientación a la administración del riesgo en tecnología y en el negocio.
- Actualizar las competencias del personal.
- Facilitar el acceso a una red global de la industria y de expertos en la materia.
Los Profesionales:
- Demostrar conocimiento en Gobierno de TI.
- Vincularse con un programa profesional que tiene aceptación mundial.
- Mejorar sus oportunidades laborales y estabilidad económica.
21
ISACA, CGEIT - Certified in the Governance of Enterprise IT, [En línea]. Disponible en
http://www.ucertify.com/l/es/exams/ISACA/CGEIT.html, accesado el 9 de mayo de 2014 22
Ibídem.
46
- Distinguirse como profesional calificado.
- La Certificación es considerada en la actualidad como un reconocimiento de que el
profesionista que lo ha obtenido, cuenta con los conocimientos teóricos y prácticos necesarios
para desempeñarse adecuadamente.
5.5 Riesgos de TI
La definición de Riesgos de Seguridad de la Información con base al estándar internacional ISO/IEC
27005:2011 es: “el potencial de que una cierta amenaza explote vulnerabilidades de un activo o grupo
de activos y así cause daño a la organización”23
.
La gestión de riesgos permite a una organización identificar qu necesita proteger, cómo debe
protegerse y cuánta protección necesita, y así invertir sus esfuerzos y recursos efectivamente. Para
lograr identificar los riesgos es necesario determinar: activos, amenazas, controles existentes,
vulnerabilidades, consecuencias e impactos.
Existen diversos marcos de referencia de riesgos, algunos de ellos son:
- ISO 31000
- IEC/DIS 31010
- ISO/D Guide 73
- BS 31100
- ISO/IEC 27005
- ITGI - The Risk IT Framework
- Basilea III
- OCTAVE
- NIST SP800-30
- CRAMM
- MAGERIT
- TRA Working Guide
- Microsoft – SRMG
- BS 7799-3
- AIRMIC, ALARM, IRM – ARMS • UNE 71504
- AS/NZS 4360
23
ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second
edition, [En línea]. Disponible enhttp://www.iso27001security.com html 27005.html ; accesado el 25 de abril de 2014.
47
- M_o_R
Los que tienen mayor demanda son: la ISO 31000 y el ITGI - The Risk IT Framework. A
continuación se describen cada uno de ellos.
5.6 ISO 31000
La variedad, complejidad y naturaleza de los riesgos es factible ser de muy diversa índole por lo que el
Estándar Internacional desarrollado por la IOS (nternational Organization for Standardization) propone
unas pautas genéricas sobre cómo gestionar los riesgos de forma sistemática y transparente.
El diseño y la implantación de la gestión de riesgos dependerá de las diversas necesidades de
cada organización, de sus objetivos concretos, contexto, estructura, operaciones, procesos operativos,
proyectos, servicios, etc.
El enfoque está estructurado en tres elementos claves para una efectiva gestión de riesgos24
:
- Los principios para la gestión de riesgos.
- La estructura de soporte.
- El proceso de gestión de riesgos.
“La norma ISO 31000 está diseñada para ayudar a las empresas a”25
:
- Aumentar la probabilidad de lograr los objetivos.
- Fomentar la gestión proactiva.
- Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la empresa.
- Mejorar en la identificación de oportunidades y amenazas.
- Cumplir con las exigencias legales y reglamentarias pertinentes, así como las
- normas internacionales.
- Mejorar la información financiera.
- Mejorar la gobernabilidad.
- Mejorar la confianza de los grupos de interés (stakeholder).
- Establecer una base confiable para la toma de decisiones y la planificación.
- Mejorar los controles.
- Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo.
24
ISO 31000 - Risk management – ISO, [En línea]. Disponible enhttp//www.iso.org/iso/iso31000. Accesado el 4 de Mayo
de 2014. 25
ISO 31000 Risk Management | BSI Group, [En línea]. Disponible enhttp://www.bsigroup.com/en-GB/iso-31000-risk-
management/, accesado el 6 de mayo de 2014.
48
- Mejorar la eficacia y eficiencia operacional.
- Mejorar la salud y de seguridad, así como la protección del medio ambiente.
- Mejorar la prevención de pérdidas, así como la gestión de incidentes.
- Minimizar las pérdidas.
- Mejorar el aprendizaje organizacional.
- Mejorar capacidad de recuperación de la empresa.
“Para una mayor eficacia, la gestión del riesgo con base en la ISO 31000 en una empresa es factible de
tener en cuenta los siguientes principios”26
:
- Crea valor. Ayudando a conseguir objetivos y mejorar aspectos como la seguridad y salud
laboral, cumplimiento legal y normativo, protección ambiental, etc.
- Está integrada en los procesos de una empresa. No debe ser entendida como una actividad
aislada sino como parte de las actividades y procesos principales de una organización.
- Forma parte de la toma de decisiones. Ayuda a la toma de decisiones evaluando la información
sobre las diferentes opciones.
- Trata explícitamente la incertidumbre. Trata aquellos aspectos de la toma de decisiones que son
inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
- Es sistemática, estructurada y adecuada. Contribuye a la eficiencia y a la obtención de
resultados fiables.
- Está basada en la mejor información disponible. Las entradas del proceso se basan en fuentes
de información como la experiencia, la observación, las previsiones y la opinión de expertos.
- Está hecha a medida. Está alineada con el contexto externo e interno de la empresa y con su
perfil de riesgo.
- Tiene en cuenta factores humanos y culturales. Reconoce la capacidad, percepción e
intenciones de la gente, que es factible de facilitar o dificultar la consecución de los objetivos.
- Es transparente e inclusiva. La apropiada y oportuna participación de los grupos de interés
(stakeholders) y de los responsables a todos los niveles, asegura que la gestión del riesgo
permanece relevante y actualizada.
- Es dinámica, iterativa y sensible al cambio. La empresa debe velar para que la gestión del
riesgo detecte y responda a los cambios del negocio.
- Facilita la mejora continua de la empresa.
26
AEC-ISO 31000, [En línea]. Disponible enhttp://www.aec.es/web/guest/centro-conocimiento/iso-31000, accesado el 15
de mayo de 2014.
49
5.7 ITGI - The Risk IT Framework
“El marco de RIS IT está destinado a un público amplio, ya que la gestión de riesgos es una práctica
global y un requisito estrat gico en cualquier organización. El público objetivo incluye”27
:
- Los principales ejecutivos y miembros del consejo que necesitan para establecer la dirección y
seguimiento del riesgo a nivel de organización.
- Encargados de TI y de los departamentos de negocio que necesitan definir el proceso de la
gestión de riesgos.
- Profesionales de la gestión de riesgos que necesitan la dirección específica en cuanto a los
riesgos de TI.
- Las partes interesadas externas.
El marco de RISK IT se basa en los principios de gestión de los riesgos organizacionales
(ERM), las normas y marcos como COSO ERM 2 y AS/NZS43603, y provee información acerca de
cómo aplicar estos principios a las TI. RISK IT aplica los conceptos generalmente aceptados de los
principales estándares y marcos, así como los principales conceptos de la gestión de otros riesgos de
TI, relacionados con las normas.
Aunque RISK IT se alinea con los principales marcos de ERM, la presencia y la aplicación de
esos marcos no es requisito previo para la adopción de RIS IT. Mediante la adopción de RIS IT en
las organizaciones se aplicarán automáticamente todos los principios de ERM. En el caso de que ERM
est presente de alguna forma en la organización, es importante aprovechar los puntos fuertes del
programa de ERM existente ya que ste ayudará a la organización a la adopción de la gestión de
riesgos, a ahorrar tiempo y dinero y a evitar los malentendidos acerca de los riesgos específicos de TI
que pueden ocasionar un mayor riesgo en el negocio.
RISK IT se define y se basa en una serie de guías para la gestión eficaz de los riesgos de TI.
Dichas guías se basan en los principios comúnmente aceptados en ERM, que se han aplicado en el
ámbito de las TI. El modelo del proceso de los riesgos de TI está diseñado y estructurado para que las
organizaciones les sea factible poner los principios en práctica y comparar sus resultados.
“El marco de RIS IT se basa en los riesgos de TI. En otras palabras, el riesgo organizacional
está relacionado con el uso de las TI. La conexión con la organización se basa en los principios en los
que se construye el marco, es decir, el gobierno efectivo de la organización y gestión de los riesgos de
TI, Algunos de ellos son”28
:
- Alinear siempre con los objetivos organizacionales.
- Alinear la gestión de las TI con el riesgo organizacional relacionado con el total de ERM.
- Balance de los costos y los beneficios de la gestión de los riesgos de TI.
- Promover la comunicación abierta y equitativa de los riesgos de TI.
27
Marco de Riesgos de TI, [En línea]. Disponible enhttp://www.info.unlp.edu.ar/uploads/docs/risk_it.pdf, accesado el 11
de mayo de 2014. 28
Ibídem
50
- Establecer el tono correcto desde un enfoque de arriba abajo, definiendo y haciendo cumplir la
responsabilidad del personal con los niveles de tolerancia aceptables y bien definidos.
“Mediante la gestión de riesgos de TI, se ha desarrollado un modelo de proceso que les será
familiar a los usuarios de COBIT y Val IT. Se facilitan guías sobre las actividades clave dentro de cada
proceso, las responsabilidades para el proceso, los flujos de información entre los procesos y la gestión
del rendimiento del proceso. El modelo se divide en tres ámbitos: gobernanza del riesgo, evaluación de
riesgos y el riesgo de respuesta, cada uno con tres procesos”29
:
Gobierno del riesgos (GR)
- Establecer y mantener una vista de riesgo común.
- Integrar con ERM.
- Tomar decisiones conscientes de los riesgos del negocio.
Evaluación de riesgos (RE)
- Recoger datos.
- Analizar los riesgos.
- Mantener perfil de riesgo.
Respuesta de riesgos
- Riesgo articulado
- Manejar riesgos
- Reaccionar a acontecimientos
29
Marco de Riesgos de TI, op cit.
51
5.8 Certificación en Riesgos
Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una
nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación,
investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo.
La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y
gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados
de información de los controles.
“La designación CRISC está diseñado para”30
:
- Los profesionales de TI.
- Profesionales de riesgo.
- Análisis económico.
- Los gerentes de proyecto.
- Cumplimiento de los profesionales de la empresa.
“La designación CRISC se centra en”31
:
- Identificación, evaluación y la evaluación de respuestas a los riesgos.
- Supervisión de riesgos.
- Es el diseño de control y aplicación.
- Es seguimiento, control y mantenimiento.
CRISC prepara a los profesionales de TI para su crecimiento profesional futuro al vincular la
administración de riesgos de TI con la administración de riesgos empresariales. Los profesionales de
una amplia gama de funciones que incluye a TI, seguridad, auditoría y el cumplimiento regulatorio han
obtenido la certificación CRISC desde que se estableció en abril de 2010. Hasta la fecha, más de
16,000 profesionales cuentan con ella. De estos profesionales, más de 1,200 son CIO, CISO y
directores de cumplimiento, riesgos y privacidad.
Cada empresa tiene que seleccionar la metodología que cumpla con sus requerimientos y
objetivos. Sin embargo, si hay que especificar un proceso estructurado y sistemático para gestionar
riesgos.
30
CRISC, [En línea]. Disponible enhttp://www.isaca.org/chapters7/Madrid/Certification/Pages/Page4.aspx, accesado el 27
de abril de 2014. 31
Ibídem.
52
Dentro del Gobierno Corporativo la Administración de Riesgos relacionados con la Tecnología
de Información está siendo atendida y entendida como un aspecto clave del negocio y el Gobierno de
TI se está volviendo cada vez más importante por ser parte integral del éxito de la empresa al asegurar
mejoras medibles, eficientes y efectivas de los procesos de TI relacionados con la empresa.
5.9 Conclusiones
El gobierno de las TI es una parte integral del gobierno corporativo, entendido como un conjunto de
prácticas y responsabilidades ejercidas por el consejo de administración y consejo de dirección de la
corporación, con el objetivo de proporcionar una dirección estrat gica, asegurar que los objetivos son
alcanzados, facilitar que los riesgos son gestionados adecuadamente y verificar que los recursos de la
organización son utilizados de manera responsable, teniendo en cuenta las demandas de los diferentes
grupos de inter s, y la continua evolución del entorno corporativo. En este contexto, el gobierno de las
TI comprende el liderazgo, las estructuras organizativas y los procesos que aseguran que las TI de la
organización sostienen y extienden los objetivos y estrategias de la misma.
Gobierno de TI es la responsabilidad que tiene la alta dirección de asegurar que las tecnologías
de información sustenten los objetivos y estrategias del negocio. El Gobierno de TI es una
representación simplificada, esquemática y conceptual que proporciona un marco de trabajo para:
- Alinear objetivos de TI con el Negocio.
- Generar y mantener valor.
- Administrar los riesgos a un nivel aceptable.
El gobierno de las TI guía la forma de generar valor para la organización y sus grupos de
interés, y minimizar los riesgos, a través de la alineación de la estrategia, la gestión de los recursos
necesarios, y el desarrollo de herramientas para la medición y comunicación de las diferentes facetas
del desempeño. El uso eficiente y eficaz de las TI es factible de generar valor en la organización.
Las herramientas estándares y certificaciones de qu disponen las organizaciones para
conseguir la alineación de la estrategia de TI con la estrategia general de negocio de la organización (y
cómo esta alineación genera valor), para la construcción de medidas e indicadores apropiados que
permitan guiar a los responsables y puestos directivos en el control e implantación de la estrategia de
TI, y para una adecuada coordinación de los recursos con los que cuenta o es factible de contar
mediante su adquisición una organización.
Todas las organizaciones, independientemente de su tamaño o sector, están expuestas a una
serie de amenazas que las hacen vulnerables y es factible de entorpecer la correcta consecución de los
objetivos establecidos, como son: accidentes operacionales, enfermedades, incendios u otras
catástrofes naturales.
El gobierno de las TI es responsabilidad de los miembros del Comit de Dirección y de los
altos ejecutivos de la organización.
Esta es una cuestión importante, que deriva de la inclusión del gobierno de las TI dentro del
gobierno corporativo, y que sugiere que no se está hablando de la gestión de un departamento de las TI
o de la simple provisión de servicios de TI en las organizaciones.
Normalmente los Consejos de Administración carecen de la información adecuada sobre
estrategia de TI así como de su gestión. Pero conforme los Consejos se involucran más en las
53
decisiones de TI, comprenden sus roles y profundizan en la definición de la estrategia, las TI son más
eficaces en el apoyo del negocio.
En el Gobierno de TI se desarrolla un rol clave tanto del Director General CEO como del
Director de Información CIO , especialmente este último, que requiere nuevas competencias,
conocimientos y habilidades directivas. Los ejecutivos de negocio son tan responsables del xito en el
uso y de la gestión de la TI y la consecución de valor para el negocio como el CIO
El principal objetivo del gobierno de las TI es conseguir la alineación entre la estrategia del
negocio y la estrategia de las TI. Este proceso es básico para que el gobierno de las TI cumpla su
función primordial de generación de valor para los grupos de inter s, minimizando los riesgos.
El gobierno de las TI incluye estrategias, políticas, responsabilidades, estructuras y procesos para la
utilización de las TI en una organización. La inclusión de elementos operativos y elementos
estrat gicos de presente y de futuro es un aspecto esencial del gobierno de las TI, y guía el desarrollo
de las tareas de gestión y administración. Gobierno y gestión o administración no deben confundirse,
porque el primero establece los sistemas y las políticas que sirven de guía y control al segundo.
Para el Gobierno de las TI la alineación supone algo más que la integración estrat gica entre la
futura organización de las TI y la futura organización de la empresa. Tambi n implica que las
operaciones de las TI est n alineadas con las operaciones empresariales en curso. Por supuesto, es
difícil lograr la alineación de las TI cuando el modelo de negocio no está claramente integrado y
compartido en las diferentes unidades y reas que forman la organización.
Las organizaciones tienen que gestionar el riesgo que en un momento dado pueda afectar e
impactar negativamente en sus actividades y procesos, lo cual pondría en peligro la consecución de sus
objetivos. En el ámbito de las TI, es necesario analizar cómo preservar el valor del negocio a trav s de
la seguridad que les proporcione las TI para proteger sus activos, conservar la continuidad de los
servicios y recuperarlos despu s de un desastre. Pero al diseñar sus estrategias futuras tambi n deben
evaluar los nuevos riesgos que aparecen a partir de la incorporación de las TI en los procedimientos y
estrategias de la organización.
Desde el punto de vista estrat gico, una adecuada gestión de los riesgos conlleva preservar la
capacidad del negocio para obtener resultados a medio y largo plazo. La dirección de la organización
es responsable de utilizar y o dotarse de las capacidades y competencias que requiere para desplegar su
estrategia y alcanzar los objetivos últimos plasmados en su misión.
Otro aspecto fundamental de la gestión del riesgo es procurar la continuidad de las operaciones
que aseguren el rendimiento de la organización y conserven su habilidad para alcanzar sus objetivos a
medio y corto plazo. Para ello, es factible utilizar mecanismos (ISO 31000 y el CRISC entre otros de
gestión de la continuidad del negocio, que identifiquen accidentes potenciales que amenacen a la
organización y formulen e implementen estrategias viables de continuidad.
54
5.10 Bibliofrafía
AEC-ISO 31000, [En línea]. Disponible en http://www.aec.es/web/guest/centro-conocimiento/iso-31000,
accesado el 15 de mayo de 2014.
CRISC, [En línea]. Disponible en http://www.isaca.org/chapters7/Madrid/Certification/Pages/Page4.aspx,
accesado el 27 de abril de 2014.
Dahlberg, T. y Kivijarvi, H. (2006).An Integrated Framework for IT Governance and the Development and
Validation of an Assessment Instrument. Proceedings of the 39th Hawaii International Conference on System
Sciences. IEEE Computer Society.
ernández Martínez, Antonio y araón Llorens Largo. Gobierno de las TI para universidades, [En línea].
Disponible en
http://www.crue.org/Publicaciones/Documents/Gobierno%20TI/gobierno_de_las_TI_para_universidades.pdf,
accesado el 5 de mayo de 2014.
Fernando, Solares Valdes, Tesis-. Instrumentación de Gobierno de Tecnología de Información en una
Institución Pública, Universidad La Salle Pachuca. 2010.
ISACA, CGEIT - Certified in the Governance of Enterprise IT, [En línea]. Disponible en
http://www.ucertify.com/l/es/exams/ISACA/CGEIT.html, accesado el 9 de mayo de 2014
ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management
(second edition, [En línea]. Disponible en http://www.iso27001security.com/html/27005.html ; accesado el 25 de
abril de 2014.
ISO 31000 Risk Management | BSI Group, [En línea]. Disponible en http://www.bsigroup.com/en-GB/iso-
31000-risk-management/, accesado el 6 de mayo de 2014.
ISO 31000 - Risk management – ISO, [En línea]. Disponible en http//www.iso.org/iso/iso31000. Accesado el 4
de Mayo de 2014.
ISO 38500. ISO/IEC 38500:2008 Corporate Governance of Information, [En línea]. Disponible en Technology.
http://www.iso.org/iso/pressrelease.htm?refid=Ref1135, accesado el 30 de abril de 2014.
IT Governance Institute, [En línea]. Disponible en http://www.isaca.org/About-ISACA/IT-Governance-
Institute/Pages/default.aspx; Internet; accesado el 1 de Abril de 2014.
Marco de Riesgos de TI, [En línea]. Disponible en http://www.info.unlp.edu.ar/uploads/docs/risk_it.pdf,
accesado el 11 de mayo de 2014
Peter D. Weill and Jeanne W. Ross, IT Governance. Harvard Business Review Press. U.S.A. 2004.
Un marco de negocio para el gobierno y la gestión de las TI de la empresa, En línea . Disponible
enhttp://www.isaca.org/COBIT/Documents/COBIT5-Framework-Spanish.pdf, accesado el 29 de abril de 2014.
Turban, E., Leidner, D., McLean, E., Wetherbe, J. (2008). Information Technology For Management:
Transforming Organizations In The Digital Economy, 6th Ed. Wiley.
Yanosky, R. Y Borreson Caruso, J. (2008).Process and Politics: IT Governance in Higher Education. ECAR
Key Findings. EDUCASE, [En línea]. Disponible en http://net.educause.edu/ir/library/pdf/ekf/EKF0805.pdf,
accesado el 9 de Mayo del 2014
55
IT Public Policy
Karina Salazar Luna
K. Salazar Luna
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
56
Abstract
In this document we discuss about the importance of public policy in Information Technology, and
really know what position we are in Mexico, this article is about a Foundation and a program they talk
about how important IT in Mexico, but really we are ready to make the most of IT? Have you
wondered what do to add value in the IT job or something better, you really know what is IT?.
6 Introduction
FUMEC foundation has been responsible for promoting science and technology to solve problems in
Mexico through programs that are focused on development of talent at all levels, among others. Helps
SMEs learn to detect bi-national interest issues, initiate pilot activities and build programs that can be
transferred to specialized organizations. Through TechBA Program created by FUMEC foundation in
order to encourage small and medium-sized technology companies in Mexico looking to expand its
operations in international markets and that companies have greater ambition of international
recognition.
At present, feature technology accelerators worldwide strategic alliances for doing that are
linked to innovation networks that allow them to leverage existing resources in the most productive
ecosystems and innovative companies, supported in previous care model TechBA representing the
incorporation and work plan, initial penetration plan, sales support and business maturity.
All this leads us to analyze according to the evolution of IT in business, analyze whether it is
worth investing in an IT product that exceeds the company's ambitions and expectations that are raised
in this company. Always keep in mind that it should have more benefits than costs and reduce time
must always be present in business, do not risk not investing would be a big mistake to not grow as a
company.
6.1 FUMEC
Mission
Promotes bi-national science and technology cooperation to contribute in Mexico`s and US`s
problem´s solution for also identifies opportunities for economic and social development.
Vision
To be a leader organization in bi-national collaboration promotion for Mexico´s and US´s social and
economic development trough science and technology programs focused on:
- Talent development in every educational system level.
- Competitivity in North American key sectors including the emergent enterprise and growing
sector.
- Importance in economic and social themes related with the border line.
57
Objetives
- Identify and define bi-national cooperation opportunities in science and technology.
- Promote actor’s net´s creation and information.
- Support bi-national financing the management of resources that can support the solutions
development in mid and long term.
- Promote the preparation of science and technology politics to amplify and strength the bi-
national cooperation between Mexico and the US.
- Hook the programs and actions in communities and the institutional net, so the results can get
permanency.
The United States-Mexico Foundation for Science (FUMEC) is a binational nonprofit
organization created in 1993, in the context of the negotiations of the North American Free Trade
Agreement (NAFTA). Our mission is to promote binational collaboration in science and technology, in
order to contribute to the solution of problems of common interest, especially those which support
economic and social development of Mexico.
To achieve this goal, FUMEC brings to Mexico successful experiences of United States and
other countries with the purpose of promoting best practices in our three program areas:
- Economic Development based on Innovation.
- Human Resource Development in Science and Technology.
- Health and Environment.
The Foundation has an annual budget of around 2 million USD, and operates projects funded
by governmental institutions of the United States and Mexico, as well as by contributions from
businesses and philanthropic institutions.
Our approach is to detect issues of binational interest, initiate pilot activities and build
programs that can be transferred to specialized organizations.
6.2 México´s TI start
Thanks to IT the public policy creation was the high value employment generation in the
organizations, but Mexico´s software exportations were not representative.
Prosoft (Process model for Software Industry) started in Guanajuato having work tables with
government, Industry and academic representatives.
6.3 Actual Action Lines
- To promote the creation of companies and to stimulate existent companies strength.
- Support the training and specialization of human resources and the improvement of production
processes.
- Promote the investment for companies in the IT sector.
58
- Promote regional economic development and strengthen the domestic market.
- To promote exports.
- Encourage the business association/integration of companies in the IT sector.
- Facilitate financing access.
- Encourage the innovation, development and technological modernization for the IT sector.
- Encourage the IT use in productive country sectors.
- Promote the development and strengthening of rapid growth companies.
The programs that stemmed from the lines of current actions were:
- MexicoFirst
- Mexico IT
- IT link
- Fundación México digital (Mexico digital foundation).
- Sistema nacional de Aceleradoras de empresas- Programa nacional de empresa Gacela.
(National system of accelerating companies – National program of Gacela company).
6.4 TechBA (International Technology Business Accelerator)
TechBA is a program created in 2004 by Mexico’s Secretary of Economy and the US-Mexico
Foundation for Science (FUMEC) whose objective is to strengthen the entrepreneurial, technological,
and innovative capacity of small and medium sized technology-based companies and to facilitate the
process of internationalization through consulting services customized to companies’ needs.
Along with the Economy Secretariat, FUMEC created the TechBA program international
acceleration of Mexican technology based on companies looking to expand their operations.
Achieving the start of operations in Silicon Valley (San Jose California) and was a focus to
detect innovative companies with potential for accelerated growth.
6.5 IT relies on 8 accelerators
- Silicon Valley
- Austin
- Montreal
- Madrid
- Detroit
59
- Phoenix
- Seattle
- Vancouver
TechBA´s accelerating model allows companies to make strategic alliances and to link with
innovation networks that allows them to take advantage of existing resources in the most innovative
and productive ecosystems.
Figura 6
60
Figura 6.1
Figura 6.2 The following scheme represents the model of attention of TechBA
TechBA serves companies by high values software niches, advanced manufacture, clean
technology, health and food. They rely on specialists net in specialized economic niches and on the
support of actors and key organizations to contribute the accelerated companies’ growth. The constant
consultancy of experts facilitates companies to improve their value offer with attractive products and
services.
6.6 The companies involved and their projects were
CANIETI
- Nyce-Moprosof
- México First
61
AMITI
- IT Link
ANIEI
- Contenidos
Sistema Nacional de Incubadoras de Empresas.(Company´s National System Incubators)
- Tec de Monterrey
Sistema Nacional de Aceleradoras de Empresas (National Accelerator Company System)
- FUMEC-TechBA
- Visionaria, Endeavor Impulsa, New Ventures, ITESM
Microsoft, HP, Intel, Sun*, IBM (Begginers)
- Software, net.mx
- Actividades específicas. (Specific activities)
IT´s FUMEC´s coordination was a focus in cloud, BI, mobile, Animations, VFX and
Videogames. Activities started in 2010 with 110 companies Cloud companies, 45 mobile, 36 new
media and BI-Red Tic Conacyt.
They generated IT support programs with more than 500 incubators in the country, they
occupied Conacyt, SE, NAFIN, European Community and Tractor Enterprises.
CONACYT conducted Innovation State Agendas, advance, fiscal stimulus, new Fund for
science and technology, innovation stimulus programs, IDEA, IBEROEKA, FONCICYT, bilateral
technological cooperation, sabbatical stays in the industry, innovation nets, technology innovation
funds, sectorial funds of energy.
The Economy Sectretariat conducted INADEM, national system of incubators, companies
accelerators, centers Mexico starts, funds: Prosoft, Promedio, Prologyca, Promexico, digital creative
city.
NAFIN perform, seed capital, sales to Government, productive chains, risk capital.
In México IT employees are distributed as follows:
62
Grafico 6 Source: Select, IT Demand Model, May 2010
6.7 Conclusions
Actually in organizations it is necessary to take under consideration the foundations or projects that go
out at national and international level in TI sector, since they have given very much value to
companies in the branch of technologies of information, FUMEC supports the promotion of the the
best practices in programmatic areas as there are the innovation based economical development, topic
that is very important in the organizations for any pilot project that it is needed to develop, another
topic of supreme importance for the companies is the part that is based on personal training in science
and technology. Having the personnel occupied in these two aspects is of supreme importance because
they are creatives in the projects that are to be introduced to the company. The program techBA is
important for the companies that have a managerial vision and that want to expand its operations on
the internacional markets putting in account the incorporation and plan of work, initial plan of
penetration, sales company and company´s maturity, all this facilitates the companies to improve its
value offer with products and attractive services.
6.8 References
http://fumec.org.mx/v6/index.php?option=com_content&view=article&id=377&Itemid=547&lang=es,
see: (March, 2014), Fundación México-Estados Unidos para la Ciencia (FUMEC)
http://techba.org/2014/en/ see: (March, 2014), International Technology Business Accelerator
(Aceleradora Internacional de Empresas Tecnológicas) TechBA.
Gra fica3TechBAwebIng Imagen , Obtenida el 18 de marzo, 2014 de: http: techba.org 2014 en wp-
content uploads 2013 12 Gra fica3TechBAwebIng.jpg
fases-modelo-TechBA [Imagen], Obtenida el 18 de marzo, 2014 de: http://techba.org/2014/en/wp-
content/uploads/2013/12/fases-modelo-TechBA.jpg
Gra fica2TechBAwebIng Imagen , Obtenida el 18 de marzo, 2014 de: http: techba.org 2014 en wp-
content uploads 2013 12 Gra fica2TechBAwebIng.jpg
Zermeño González, R. (2010). IT Demand Model [Imagen], Obtenida de:
http://www.politicadigital.cl/?P=editomultimediafile&Multimedia=796&Type=1
IT Employees: 974,080
Company
Government
IT Industy
Company
786,883
81%
Government
97,197
10%
IT Industry
90,000
9%
63
Optimización de los tiempos de cálculo del proceso de negocio de líneas de
producción a través del uso de Tecnologías de Información
Isabel Mendiola Peña
I.Mendiola Peña
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
64
Abstract
Currently the Information Technology (IT) are fundamental for the development of an organization, so
it must be well managed to provide VALUE to the internal or external customers thereof, IT support
critical business processes and support process on an organization so, if there is not an IT strategic plan
aligned to the strategic business plan it willbe impossible obtain the benefits of the area, and it will be
impossible to be seen as a profit center or investment center and will remain regarded as a cost center.
In this work proposes through consultancy to provide the synergy that must exist between the
business and technology providing great VALUE in different corners of the organization through the
appropriate use of IT.
7 Introducción
Sobre Grupo Flexi
Grupo Flexi fue fundado en 1935 porDon Roberto Plasencia Gutiérrez, quien con escaso capital y el
apoyo de un reducido grupo de artesanos, inició un pequeño taller donde fabricaba calzado para niño,
bajo la marca CÉSAR.
Misión: Brindar a través de nuestros productos y servicios en el sector cuero-calzado, la óptima
satisfacción al consumidor y cliente sustentados por una empresa económicamente próspera,
comprometida con el desarrollo de su personal y de la sociedad en que se ubica.
Valores: Ética, solidaridad, dignidad, equidad (justicia), desarrollo humano, participación,
responsabilidad.
El beneficio social generado por la empresa trasciende a otras compañías que se han integrado
a la cadena productiva de Grupo Flexi ofreciendo así oportunidades laborales a más de 4,000 personas.
En este caso de éxito describo la metodología de consultoría que realicé para poder aportar
valor de una solución dentro de Grupo Flexi con ayuda de las TI.
7.1 Descripción del Problema
Grupo Flexi tenía un proyecto en 2006 de implementación de i2 Supply Chain Planner (SCP), que
lleva la cadena de suministro e incorporaron planeación de la producción (PP), su proceso es
fundamental y crítico para el negocio y el objetivo fue:
- Optimizar la producción, inventario, distribución y transporte simultanea entre múltiples
plantas.
- Acelerar la cadena de suministro.
- Colaboración para resolver problemas.
- Permitir que la demanda sea priorizada con base a la seguridad del stock y requerimientos de
reabastecimiento.
65
La información generada la cargan en un ETL (extract, transform and load), es un proceso que
permite a las organizaciones mover datos desde múltiples fuentes, reformatearlos, limpiarlos, y
cargarlos en otro sistema operacional para apoyar un proceso de negocio. Para Grupo Flexi el ETL es
para hacer los cálculos de líneas de producción y la planeación de los almacenes.
El tiempo en realizar el proceso era de 13 horas por lo tanto no lo podían correr diario, lo
corrían por semana y no podían detener la producción, la implicante consistía básicamente en que en
caso de que un cliente le pida cambios en la maquila provocaba problemas de abasto hacia su cliente,
obligando a tener un Target Inventory Level (TIL) mayor, por si le piden cambio, merma, outlets y
reprogramación de la producción.
La plataforma tecnológica sobre la cual se soportaba este proceso de negocio era infraestructura
de SUN con sistema operativo Solaris y de EMC, esta plataforma se había adquirido en el 2005, por lo
que aún tenía un tiempo de vida de dos o tres años más.
Después de realizar el entendimiento y análisis del proceso de negocio, se concluyó que las
operaciones que ejecutaban eran de punto flotante; en informática las operaciones de punto flotante por
segundo son una medida del rendimiento de una computadora, especialmente en cálculos científicos
que requieren un gran uso de operaciones de coma flotante. Para este tipo de operaciones se
recomendó usar procesamiento de cómputo científico, son equipos optimizados para el funcionamiento
de grandes cargas de trabajo intensivas,cálculos enparalelo y algorítmicos.
7.2 Metodología
El proceso que realicéfue con un enfoque consultivo para poder lograr que Grupo Flexi realmente
viera el valor dentro de su proceso a través de los servicios y soluciones tecnológicas que se pudieran
plantear.
La metodología que utiliceha sido desarrolladadurante la experiencia de trabajo de 10 años en
diferentes clientes, con esta metodología se busca alcanzar diferentes objetivos:
- Alinear la solución con las necesidades del negocio.
- Traducir los beneficios técnicos en beneficios de negocio.
- Ser muy óptimos en la utilización de los recursos que se requieren para tener un proyecto
exitoso: humanos, tecnológicos, financieros.
- Evitar retrabajos durante la ejecución basado en un buen diseño tecnológico y dedicando el
mayor tiempo en la planeación del proyecto.
- Cuidar la triple restricción que pide la metodología de proyectos PMI: tiempo, costo y alcance.
- Controlar el proyecto.
- Disminuir los riesgos que se puedan presentar durante la ejecución del proyecto y que pueda
impactar la operación de la compañía.
- Lograr un aseguramiento de la Calidad durante todo el proceso desde la fase de análisis y
diseño de un proyecto hasta su término.
66
Los siguientes puntos explican los pasos que seguí para lograr demostrar el VALOR a través de
la solución adecuada y alineada a los requerimientos del negocio.
- Evaluación y detección de la necesidad de negocio de Grupo Flexi, con el entendimiento de los
procesos de negocio de la compañía.
- Documentación de las promesas de negocio que el proyecto puede brindar, es decir los
indicadores que se esperan del proyecto.
- Levantamiento de información a través de monitores para documentar, determinar y entender
los niveles de servicio así como la calidad de servicio actuales. Monitores con herramientas
propias con las que cuenta el centro de competencia IBM-SAP (insight), comandos de sistema
operativo y disco para determinar los IOPS (inputs/outputs por segundo) que la aplicación
demanda.
- Análisis de la información obtenida para generar un diseño adecuado y alineado a las
necesidades de negocio. Este diseño contemplando todos los componentes tecnológicos para
poder brindar una solución integral ‘llave en mano’. Estos componentes tienen que ver con
procesamiento, almacenamiento de tipo disco y cinta, red de almacenamiento de disco (SAN),
esquema de clusters de alta disponibilidad, componentes necesarios para poder respaldar y
restaurar la información crítica del negocio en los tiempos que requiere el negocio.
- Elaboración de una matriz de interoperabilidad de los componentes de Hardware y Software.
- Elaboración de la Arquitectura Tecnológica, es decir dimensionar el tamaño de los
componentes y elegir los tipos y modelo de la infraestructura y licenciamiento que cubra los
requerimientos del negocio.
- Elaboración de la propuesta económica junto con las justificaciones financieras para
documentar los beneficios en función de la estrategia de compra de la organización (capex,
opex) y conociendo si el área de TI dentro de la organización se mide cómo un centro de
beneficios, centro de costos o centro de inversión.
- Formalización del alcance con un detalle técnico a través de un SOW, con una definición clara
de los entregables de cada etapa y sus criterios de término para poder avanzar de una forma
coordinada y descartar las percepciones o entendimientos diferentes que pudieran tener los
diferentes actores del proyecto. Identificar los supuestos, restricciones y riesgos del proyecto.
- Formalización del equipo para la administración del proyecto con base a la metodología PMI,
identificando los sponsors, los administradores de proyecto, los líderes técnicos con la
capacidad de hacer una integración entre las diferentes especialidades técnicas que requiere un
proyecto tecnológico y evitar los trabajos por silos.
- Planeación de la ejecución del proyecto y documentación de la EDT, con el plan de
comunicación y matriz de escalamiento.
- Determinar la estrategia de implementación y el proceso de migración de la aplicación basada
en procesos certificados de migración de SAP, con el fin de obtener un cambio indoloro para la
operación de Grupo Flexi.
- Elaboración de un documento de especificaciones de instalación (DEI), el cual tiene como
objetivo documentar los parámetros técnicos y prerrequisitos de forma integral que requieren
todos los componentes tecnológicos de la solución.
67
- Elaboración del Plan de Trabajo de acuerdo a la metodología PMI, es decir con línea base, ruta
crítica trazada, dependencias, tiempo de recursos, hitos, etc.
- Ejecución de las actividades para lograr la implementación de la solución previamente
planeada en los pasos anteriores.
- Ejecución de matrices de pruebas técnicas y funcionales para la liberación de los entregables
documentados en función de los criterios de término.
- Cierre del proyecto con una sesión para corroborar a los sponsors del proyecto de Grupo Flexi
que los objetivos comprometidos en el proyecto fueron alcanzados.
7.3 Resultados y Discusión
Descripción General de la Solución
Para dar respuesta a la necesidad de negocio detectada y planteada a Grupo Flexi consideré varios
componentes tecnológicos que pudieran garantizar la disminución de tiempos en el proceso crítico ya
descrito con anterioridad, en los siguientes puntos se detalla muy brevemente cada uno de los grandes
componentes de la solución implementada.
Para las unidades de procesamiento se tomó en cuenta un benchmark internacional de SAP,
llamado SAPS, para medir las unidades de rendimiento de las máquinas actuales y poder ofrecer sólo
lo que necesita la operación contemplando los crecimientos futuros que Grupo Flexi indicó, a
continuación se explican las definiciones de cada uno:
Los SAPS (SAP Application Performance Standard por sus siglas en ingles) es una unidad
independiente del hardware que indica el rendimiento de un servidor con una configuración
preestablecida el cual se encuentra dentro de un ambiente SAP. Esta unidad se deriva del benchmark
de ventas y distribución (SD por sus siglas en inglés) donde 100 SAPS se definen como 2,000 partidas
de órdenes de negocios totalmente procesadas por hora. En términos técnicos este rendimiento es
alcanzado al procesar 6000 pasos de diálogo (mejor conocidos como cambios de pantalla), 2,000
publicaciones por hora en el benchmark de ventas y distribución o 2,400 transacciones SAP. En el
benchmark de ventas y distribución, "ordenes de negocios totalmente procesadas" significa el proceso
de negocio completo de una partida: creación de la partida, creación de la orden de entrega para una
partida, mostrar la partida, cambiar la entrega, publicación de una salida de mercancías, enlistar
órdenes, y crear una factura.32
Calidad de Servicio: Es la experiencia, dada en tiempo/periodo (segundos) que el usuario
percibe al interactuar con la aplicación, se toma como base los SAPS definidos en el párrafo anterior.
Ya que los SAPS tienen una equivalencia a pasos de diálogo (cambios de pantallas en la
aplicación), la calidad de servicio en su unidad mínima transaccional está dada en pasos de diálogo por
milisegundos.
Unidades de Almacenamiento:Para el almacenamiento en disco de la infraestructura propuesta,
el parámetro de medición fueron los GB (gigabyte), los MB/seg y los IOPS puros (cache free).
32http://www.sap.com/campaigns/benchmark/bob_glossary.epx
68
IOPS (Input/Output Operations Per Second, pronunciado i-ops) es una medida del rendimiento
de referencia común para los dispositivos informáticos de almacenamiento como unidades de disco
duro (HDD), unidades de estado sólido (SSD) y redes de área de almacenamiento (SAN).
El número específico de IOPS posible en cualquier configuración del sistema variará en gran
medida dependiendo de las variables que el probador entra en el programa, incluido el saldo de las
operaciones de lectura y escritura, la combinación de los patrones de acceso secuencial y aleatorio, el
número de subprocesos de trabajo y profundidad de la cola, así como los tamaños de los bloques de
datos. Existen otros factores que también pueden afectar a los resultados de IOPS incluyendo la
configuración del sistema, las controladoras de almacenamiento, las operaciones de fondo de los S.O.,
etc.33
Relación SAP/IOPS: Para explicar técnicamente la relación entre SAP y IOPS hay que
entender que los datos maestros y transaccionales necesitan ser cargados dentro del sistema de
procesamiento. La relación deseada por IOPS contra SAP es de 0.2 - 0.5 IOPS por 1 SAPS34
Procesamiento
La solución tecnológica se conformó de dos equipos de cómputo científico 575 con procesador power
5+, sistema operativo UNIX AIX 5.3 con la capacidad de 12,800 SAPS cada una para soportar el
tiempo de respuesta que garantiza SAP de menos de 1seg. por paso de diálogo. Se realizo la
planeación y distribución de los 8 ambientes en particiones distintas con la optimización del uso de los
recursos (procesador, memoria, tarjetas, disco) utilizando las características que da la propia tecnología
de IBM con la cual se puede asignar procesador en cada partición de tal forma que si requiere robar
procesador pueda hacerlo de las otras particiones en caso de no estar ocupándolo, esto ayuda a poder
microparticionar los procesadores y utilizar mucho mejor el rendimiento que puede dar sin necesidad
de comprar procesadores adicionales que usará sólo en sus temporadas altas.
Red de Área de Almacenamiento
Se diseño e implementó una Red de Área de Almacenamiento (SAN) en su momento con una
velocidad de 4Gbps a través de switches brocade con redundancia en sus componentes y conexiones
conformado de un inter switch link (ISL) que permite realizar una sola fabrica de SAN entre ambos
sitios, y que los servidores del Sitio A puedan tener acceso al almacenamiento del Sitio B y viceversa.
Alta disponibildad
Se conformaron 3 clusters de alta disponibilidad para los ambientes productivos con el software de
IBM HACMP (High Availability Cluster Multiprocessing) que funciona sobre la plataforma UNIX
AIX y Linux. Esto garantizó una disponibilidad de 99.98% al año.
Almacenamiento de disco externo
Se realizó el dimensionamiento e implementación de un subsistema de discos Modelo DS4800 de
IBM, con las características redundantes que brinda la tecnología más la configuración de la
protección que se puede obtener con los arreglos de RAID y los discos que se pueden colocar de spare
se logró ofrecer la protección adecuada para cuidar los puntos únicos de falla que disminuyen el nivel
de disponibilidad de las aplicaciones que soportan los procesos de negocio de Flexi.
33http://kb-es.sandisk.com/app/answers/detail/a_id/11619/~/definici%C3%B3n-de-input%2Foutput-operations-per-second-%28iops%29 34http://global.sap.com/campaigns/benchmark/index.epx
69
Se cuido el tema de rendimiento que tiene implicaciones para la calidad del servicio en los
tiempos de respuesta de las aplicaciones, con el dimensionamiento donde interviene la cantidad de
IOPS que demanda la aplicación y la capacidad de GB que requiere de almacenamiento, se tomó en
cuenta temas de si la aplicación aprovecha la cache del subsistema o se va directo a disco.
Solución de Respaldos
Se elaboró e implemento una solución de respaldos con la herramienta de IBM Tivoli Storage
Manager (TSM) la cual es un administrador de almacenamiento ya que no sólo ayuda a respaldar y
restaurar la información sino que permite realizar ILM (information life management), tiene una BD
que lleva el control automatizado del registro de las cintas y de la información que se va respaldando
con el fin de evitar la intervención del operador en caso de requerir restaurar la información en un
punto en el tiempo. Permite llevar versiones de información y realizar respaldos a bóveda a través de
una copia de cinta a cinta, se hizo el diseño dependiendo del tipo de datos que se respaldan, los
archivos menores a 256K se envían por la LAN ya que esto evita degradar el rendimiento que puede
dar la SAN y los archivos mayores a 256K forzosamente deben ser enviados a través de la SAN, se
cuido la cantidad de cintas que se requieren para las políticas de respaldo que Grupo Flexi requería con
el fin de no sobredimensionar o evitar tener que hacer compras en un periodo corto después de
implementada la solución. Los tiempos de restauración son los que mandan cuando se realiza un
diseño y en función de este tiempo se colocaron la cantidad de drivers adecuados en las librerías para
cuidar que se lograra el tiempo objetivo de 4 horas así como cuidar los respaldos en grupos de
consistencias que demandan las aplicaciones por la comunicación que existe entre los diferentes
ambientes. Se aprovecho el Disaster Recovery Manager con el que cuenta TSM para proteger a Grupo
Flexi en caso de un desastre que se pudiera recuperar a través de los respaldos de una forma ordenada
y automatizada.
Proceso de Migración Heterogénea
Se considero una migración Heterogénea ya que el ambiente que se tenía de base era SUN, por lo que
implicó un cambio de SO Solaris a AIX y de plataforma, se tomó como base la metodología de
migración propia de SAP para migrar los ambientes de SAP y la metodología de migración de Oracle
para migrar los ambientes I2 del cliente. Consiste en generar ambientes pivote para realizar las pruebas
necesarias y ajustes de tiempo para el proceso de pase de producción en el menor tiempo posible que
se logró en menos de 24 horas por lo que la ventana requerida para estas actividades fueron muy bien
planeadas y controladas para que Grupo Flexi no tuviera interrupciones mayores a las permitidas en su
operación.
Diagrama de Solución
Figura 7
70
Beneficios para Grupo Flexi
- La disponibilidad de 99.98% en sus aplicaciones los cuales no tenia.
- Una mejora en la calidad del servicio (tiempos de respuesta) de ambientes de SAP menor a 1
seg. por paso de dialogo.
- La reducción de los tiempos en su proceso de planeación y cadena de suministro el cual es
crítico para el negocio, esto desencadena beneficios asociados como reducción de costos por
las mermas que se generaban.
- Justificación del TCO a 3 años y ROI por la inversión realizada al sustituir la tecnología con la
que contaba, este beneficio se comparo con el ejercicio de no cambiar la infraestructura y
seguir con el tiempo del proceso de 13 horas.
“Teníamos objetivos muy concretos de mejora de tiempo de respuesta. La principal aportación de la
consultoría es el conocimiento que se logró obtener de la organización, a través del cual se obtuvo una
solución que llega a los tiempos objetivo que se habían establecido y a un precio bastante adecuado.
Llevamos una relación empática, ellos entienden nuestras preocupaciones y tratan de resolver,
anticiparse a que las soluciones contengan elementos tendientes a resolver esa preocupación; hay una
proactividad para resolver.”
El tiempo de respuesta anterior respecto al actual representa una mejora de 340%, que le da a Grupo
lexi mayor control sobre sus inventarios, reduciendo costos y mermas”
Miguel Ángel Sierra Salas
Gerente Corporativo de Sistemas de GrupoFlexi
7.4 Conclusiones
Con este caso de éxito puedo concluir que es viable entregar valor al negocio utilizando las
Tecnologías de Información y la forma en que potencializan la capacidad de los procesos de negocio
para dar los resultados que la organización está esperando, y no sólo los esperados sino también los
beneficios no esperados que coadyuvan a una mejor integración de las áreas de negocio con las áreas
de TI. También se puede observar que si se utilizan de forma adecuada las tecnologías de información
dentro de las áreas de TI de una organización, estas se pueden convertir poco a poco en un centro de
beneficios para la organización.
7.5 Referencias
Definición de Input/Output Operations Per Second (IOPS). [En línea]. Disponiblehttp://kb-
es.sandisk.com/app/answers/detail/a_id/11619/~/definici%C3%B3n-de-input%2Foutput-operations-
per-second-%28iops%29
Flexi. [En línea]. Disponible http://www.flexi.com.mx/porqueflexi.html#diseno
SAP Standard Application Benchmarks. [En línea].
Disponiblehttp://global.sap.com/campaigns/benchmark/bob_glossary.epx
SAP Standard Application Benchmarks. [En línea].
Disponiblehttp://global.sap.com/campaigns/benchmark/index.epx
71
Privacidad de datos
Adrian Vazquez
A.Vazquez
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
72
8 Introduccion
Hablar de este tema es muy amplio y variado definimos como datos personales el nombre, teléfono,
domicilio, fotografía, o huellas dactilares, así como cualquier otro dato que pueda identificarte, resulta
crítico qué cuidemos estos datos por razones de seguridad y porque es nuestro derecho.
Los datos deben ser protegidos contra el mal uso como robo de identidad, transmisiones
indebidas o ilícitas o accesos no autorizados.
La nueva legislación coloca a las personas en el centro de la tutela del Estado Los mexicanos
cuentan hoy con una legislación que protege la información personal que pueda encontrarse en las
bases de datos de cualquier persona física, o empresa como, aseguradoras, bancos, tiendas
departamentales, telefónicas, hospitales, laboratorios, universidades. Esta legislación contiene una
serie de reglas claras y respetuosas de la privacidad, dignidad e información de las personas, derivadas
de principios internacionalmente observados por otros países del mundo. La Ley regula la forma y
condiciones en que las empresas deben utilizar tus datos personales.
Por ejemplo: origen racial o étnico, estado de salud, información genética, creencias religiosas,
filosóficas y morales, afiliación sindical, opiniones políticas y preferencias sexuales.
8.1 Marco teórico
La ley federal de Protección de Datos Personales en Posesión de Particulares, también referenciada
como LFPDPPP fue publicada en el Diario Oficial de la Federación el 5 de Julio de 2010 con entrada
en vigor un año después es la primera ley de este tipo aprobada en México, existen antecedentes sobre
leyes de protección de datos sin embargo es la primera que abarca en un sentido amplio con reglas
estándar, posee ciertas similitudes con las leyes de protección de datos existentes en la Unión Europea,
principalmente España y también con las leyes existentes en Argentina quien lidera el cambio dentro
de América Latina.[1]
Esta ley aplica únicamente al tratamiento de la información realizada por particulares, por lo
que Gobierno instituciones de reportes crediticios y empresas que recaban información sin fines de
lucro están exentas de su cumplimiento. Por otra parte, el cumplimiento es obligatorio para personas y
empresas que residan en territorio mexicano independientemente del lugar en que resida la persona
objeto de la información, lo que implica que las compañías de internet residentes en México deben de
cumplir con la regulación aún si sus clientes no son mexicanos, sin embargo empresas de internet
extranjeras no están obligadas a cumplir con los estatus de la ley para sus clientes Mexicanos.
El modelo de esta ley incluye el uso de definiciones generales, permitiendo control sobre la
obtención, uso, incluyendo acceso, administración, transferencia o eliminación, publicación o
almacenamiento de información personal a través de cualquier medio perteneciente a un individuo que
pueda ser identificable, prohibiendo por defecto todo tipo de procesamiento sin el consentimiento del
mismo. Respecto a la información existente en fuentes públicas, la ley es mucho más permisiva que la
existente en la Unión Europea al permitir, el uso de esta información sin ningún tipo de notificación o
justificación expresa.
73
Los principios generales de esta ley siguen la inspiración de la OCDE delimitando los
siguientes:
- Notificación: Toda persona debe ser notificada cuando se están recabando sus datos personales
- Propósito: En la notificación se debe dará viso del propósito para el que serán recabados sus
datos y los mismo únicamente deberán ser usados para el mismo.
- Consentimiento: Los datos personales no podrán ser publicados sin el consentimiento explícito
del titular
- Seguridad: La información recabada deberá ser resguardada de abusos potenciales
- Transparencia: Los titulares de la información deben ser informados sobre la identidad de la
persona que se encarga de recabar los datos.
- Responsabilidad: Los titulares deben de contar con un método para responsabilizar al
recolector de los datos personales por cualquier incumplimiento de los principios anteriores
Las notificaciones realizadas por las entidades que recolectan datos personales deben de
contener los siguientes puntos[2]:
- Identidad y dirección de la entidad que recolecta los datos
- El propósito para el cual serán recabados los datos personales
- Las opciones y métodos disponibles por la entidad recolectora para limitar la divulgación y uso
de la información recolectada
- Los mecanismos que pueden utilizar los titulares de la información para solicitar acceso,
corrección, cancelación y oposición al procedimiento de acuerdo a lo establecido en la ley
- El procedimiento a través del cual la entidad recolectora comunicará a los titulares sobre algún
cambio en las disposiciones
8.2 Ley de proteccion de datos personales
Principios de Protección de Datos Personales, Derechos ARCO y su ejercicio[3].
De los Principios de Protección de Datos Personales
La ley está basada en principios internacionalmente reconocidos desde hace muchos años en el ámbito
de la privacidad y la protección de datos personales. Los responsables en el tratamiento de datos
personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad,
lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Algunos puntos importantes en
relación a la adopción obligatoria de estos principios son los siguientes[4]:
- Los datos personales deberán recabarse y tratarse de manera lícita. La obtención de datos
personales no debe hacerse a través de medios engañosos o fraudulentos-
En todo tratamiento de datos personales, se presume que existe la expectativa razonable de
privacidad.
74
- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las
excepciones previstas por la Ley.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por
medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
- Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose
puesto a su disposición el aviso de privacidad, no manifieste su oposición.
- El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos
retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad,
establecer los mecanismos y procedimientos para ello.
Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo
las excepciones previstas en la ley.
Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento
expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o
cualquier mecanismo de autenticación que al efecto se establezca.
- El responsable procurará que los datos personales contenidos en las bases de datos sean
pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
- El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas
en el aviso de privacidad.
El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en
relación con las finalidades previstas en el aviso de privacidad.
- El responsable velará por el cumplimiento de los principios de protección de datos personales
establecidos por la Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo
anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del
responsable.
- El responsable tendrá la obligación de informar a los titulares de los datos, la información que
se recaba de ellos y con qué fines, a través del aviso de privacidad.
El multicitado “aviso de privacidad”, que es documento clave sobre el cual gira buena parte de las
“responsabilidades” de esta ley, debe ponerse a disposición de los titulares a trav s de formatos
impresos, digitales, visuales, sonoros o cualquier otra tecnología. Dicho aviso debe contener al menos
la siguiente información:
- La identidad y domicilio del responsable que los recaba; Las finalidades del tratamiento de
datos;
- Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o
divulgación de los datos;
- Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de
conformidad con lo dispuesto en la Ley;
75
En su caso, las transferencias de datos que se efectúen; procedimiento y medio por el cual el
responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo
previsto en la Ley; y En el caso de datos personales sensibles, el aviso de privacidad deberá señalar
expresamente que se trata de este tipo de datos.
Dentro del “catálogo” de obligaciones que marca esta ley, sin duda una de las más importantes
es la que establece el artículo 19: “Todo responsable que lleve a cabo tratamiento de datos personales
deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan
proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o
tratamiento no autorizado.”
La parte más importante de esta obligación de seguridad no termina ahí, pues a su vez el
artículo 20[4] establece que: Las vulneraciones de seguridad ocurridas en cualquier fase del
tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares,
serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar
las medidas correspondientes a la defensa de sus derechos.
Al final de este capítulo se determina una obligación genérica de confidencialidad de la
información, concretamente en el artículo 21: El responsable o terceros que intervengan en cualquier
fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación
que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
8.3 Ley y privacidad de datos opiniones
La presencia del IFAI en todas estas ciudades tiene como objetivo difundir el ejercicio del derecho a la
protección de datos personales en sus dos vertientes: la primera, desde la perspectiva de los titulares,
como una garantía fundamental, y la segunda, desde el punto de vista de los responsables, en cuanto al
cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los particulares.
De acuerdo con el Instituto, la intención es generar conciencia entre los titulares y responsables
sobre la importancia y el impacto del valor cuantitativo y cualitativo de los datos personales dentro de
un contexto global y digital, y sensibilizar a la población sobre la responsabilidad que implica
compartir los datos personales con terceros, entre otros objetivos.
También se pretende difundir las herramientas que ha desarrollado el Instituto para facilitar a
los responsables el cumplimiento de sus obligaciones y a los titulares la promoción de los
procedimientos, y dar a conocer las sanciones impuestas en sectores estratégicos.
En cuanto a dichas herramientas, el IFAI pone a disposición de todos los responsables el
Generador de Avisos de Privacidad (GAP), para que en forma gratuita elaboren su aviso de privacidad.
Según el estudio Termómetro: De la Privacidad de datos, realizado por la empresa Deloitte
México, a pesar de la entrada en vigor de la Ley de Protección de Datos Personales en Protección de
los Particulares, los lineamientos de regulación y protección de datos en México, así como la cultura
de privacidad es rudimentaria.[5]
El análisis reúne la opinión de ejecutivos de la industria mexicana, arroja que 74% de los encuestados
conoce la ley aunque sea de manera parcial. Sin embargo, 54% de los empleados no tienen el
conocimiento de la responsabilidad que deben cumplir en el proceso.
De igual manera el reporte dio a conocer que el 77% de los entrevistados tiene como objetivo
principal incrementar o ganarse la confianza de los clientes, seguido por el aseguramiento del
cumplimiento regulatorio con 74%.
76
Esto hace evidente que más allá del cumplimiento, las empresas buscan mantener o incrementar
la confianza y la lealtad de los clientes; lo que cobrará mayor relevancia conforme a la cultura de
protección de datos en el país se vaya fortaleciendo”, dijo Eduardo Cocina, socio de riesgos de
tecnología de la información de Deloitte México.
Por otra parte, el estudio reveló que el principal riesgo que las organizaciones enfrentan ante el
mal uso de la información personal es la pérdida que se da vía dispositivos móviles o de memoria.
Para que las empresas puedan llevar a cabo una correcta adopción de la ley, resulta prioritario
implementar una serie de acciones que contemplan, de inicio, el desarrollo de un modelo de privacidad
aplicado a la realidad de la organización; asignar roles y responsabilidades para el manejo de la
información; establecer mecanismos de medición y aseguramiento y, finalmente, exhibir los resultados
obtenidos ante las audiencias involucradas.
Las empresas mexicanas han identificado ser vulnerables y necesitan hacer ciertos cambios en
su forma de proteger y tratar la información”, dijo el especialista.
De acuerdo con el estudio de Deloitte, más de la mitad de los entrevistados aseguró que su
organización sí cuenta con los recursos internos necesarios para cumplir con la ley. Consideran que los
procesos y las prácticas internas, políticas y estándares, así como el conocimiento y la cantidad de
gente son los factores claves para poder llegar al cumplimiento que establece la ley.
Mientras más sensibles estén las compañías ante la relevancia de los procesos y avancen en su
autoanálisis, podrán determinar el nivel de esfuerzo requerido y comenzar a actuar para obtener
diversos beneficios.
La protección de datos personales se remonta a 1948, cuando la Asamblea General de las
Naciones Unidas adopta el documento conocido como Declaración Universal de Derechos Humanos,
en este documento se expresan los derechos humanos conocidos como básicos. En el artículo 12 se
señala lo siguiente:
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la
protección de la ley contra tales injerencias o ataques.
Actualmente, una gran cantidad de datos personales, incluyendo aquellos conocidos como
datos biométricos, son almacenados en sistemas computacionales, factor que los hace susceptibles de
sufrir ataques informáticos.
En varios países del mundo hay esfuerzos por crear legislaciones que establezcan los límites,
permisos y castigos entorno al manejo adecuado de los datos contenidos en los sistemas de
información, sobre todo de aquellos definidos como datos personales.Esta investigación busca un
precedente legal de cómo son considerados los datos biométricos por las leyes de protección de datos
personales de distintos países en el mundo.
A continuación, se describen algunos conceptos relevantes en este tema:
Dato personal. Se refiere a toda aquella información asociada a una persona o individuo que lo
hace identificable del resto de las personas y/o como parte de un grupo determinado de individuos, por
ejemplo: nombre, domicilio, teléfono, fotografía, huellas dactilares, sexo, nacionalidad, edad, lugar de
nacimiento, raza, filiación, preferencias políticas, fecha de nacimiento, imagen del iris del ojo, patrón
de la voz, etc. La idea central de este concepto es común en las legislaciones de protección de datos
que distintos países han redactado.
77
Datos personales sensibles. Comúnmente se refiere a todos aquellos datos que se relacionan
con el nivel más íntimo de su titular y cuya divulgación pueda ser causa de discriminación o generar
un severo riesgo para su titular. De manera general, se consideran datos sensibles aquellos que revelen
características como origen étnico o racial, estado de salud, creencias religiosas, opiniones políticas,
preferencia sexual, pertenencia a sindicatos, creencias filosóficas y morales, entre otras. Esta clase de
información debe ser tratada con mayor responsabilidad y establecer medidas de protección más
estrictas.
Datos biométricos. Por definición común, los datos biométricos son aquellos rasgos físicos,
biológicos o de comportamiento de un individuo que lo identifican como único del resto de la
población. Aquellos sistemas informáticos en los que se mide algún dato biométrico, como parte del
proceso de identificación y/o autentificación de un sujeto, son conocidos como sistemas de seguridad
biométrica o simplemente sistemas biométricos.[6]
La siguiente lista son algunos ejemplos de datos biométricos:
- Huellas dactilares
- Geometría de la mano
- Análisis del iris
- Análisis de retina
- Venas del dorso de la mano
- Rasgos faciales
- Patrón de voz
- Firma manuscrita
- Dinámica de tecleo
- Cadencia del paso al caminar
- Análisis gestual
- Análisis del ADN
8.4 Leyes de proteccionde datos en el mundo
En el mundo existen dos vertientes principales entorno a la protección de los datos personales: El
modelo europeo busca proteger la información y la propiedad de la misma, en aras de conservar la
honorabilidad de la persona aun cuando ésta hubiese fallecido, la motivación de este modelo tiene base
en los derechos humanos de los individuos. El modelo estadounidense pretende proteger la
información de las personas con el concepto de derecho a la privacidad, el cual puede extinguirse con
la muerte del sujeto, el modelo surge derivado de motivos comerciales ya que las empresas utilizaban
de manera indiscriminada esa información.
Diversos países han promulgado leyes de protección de datos personales y en cada país se ha
buscado adaptar, a sus propias condiciones culturales, económicas y políticas, las bases de alguno de
los dos modelos de protección de datos personales existentes.
78
A continuación, se mencionan algunos casos relevantes sobre las leyes de protección de datos
personales de distintos países, organizaciones y regiones del mundo:
1. Organización de Naciones Unidas (ONU). En 1948, adopta el documento conocido
como Declaración Universal de Derechos Humanos, en la que el artículo 12 señala que las personas
tienen derecho a la protección de la ley de sus datos personales.
2. Alemania. En 1970 fue aprobada la primera ley de protección de datos (Datenschutz). En 1977, el
Parlamento Federal Alemán aprueba la Ley Federal Bundesdatenschutzgesetz. Estas leyes impiden la
transmisión de cualquier dato personal sin la autorización de la persona interesada.
3. Suecia. En 1973 fue publicada la que fue una de las primeras leyes de protección de datos en el
mundo.
4. Estados Unidos de Norteamérica. La protección de datos tiene base en la Privacy Act de 1974.
5. Unión Europea. El primer convenio internacional de protección de datos fue firmado en 1981 por
Alemania, Francia, Dinamarca, Austria y Luxemburgo. Es conocido como “Convenio 108” o
“Convenio de Estrasburgo”. En los 90’s, se establece una norma común que se denominó Directiva
95/46/CE. La directiva es referente a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos.
6. España. La ley Orgánica 15 de 1999, establece la Protección de Datos de Carácter Personal. Está
ley ha sido importante para Latinoamérica porque se ha utilizado como firme referente del modelo
europeo.
7. Latinoamérica. En América Latina, las leyes de protección de datos personales surgen como una
necesidad derivada del incremento del uso de las tecnologías de la información y el aumento de las
vulnerabilidades asociadas. En su mayoría, estas leyes se asemejan al modelo europeo: En Argentina la
Ley 25.326 (2000), Chile (1999), Panamá (2002), Brasil (1997), Paraguay (2000), Uruguay (2008).
8. Rusia. En el año 2006 fue aprobada una exhaustiva ley de protección de datos personales.
9. Perú. La ley 29.733 del 2 de julio de 2011 es la más reciente ley de protección de datos personales
en el mundo.
10. México. La Ley Federal de Protección de Datos Personales en Posesión de Particulares fue
publicada en el Diario Oficial de la Federación el 5 de julio de 2010, entró en vigor un día después y
tiene efecto a partir de enero del año 2012.
Esta ley pretende salvaguardar el respeto a la privacidad, dignidad e información de las
personas, en ella se establecen cuatro derechos fundamentales que tienen los individuos sobre su
información en posesión de cualquier persona física o empresa particular (aseguradoras, bancos,
tiendas departamentales, telefónicas, hospitales, laboratorios, universidades, etc.), son los denominados
derechos ARCO: Acceso, Rectificación, Corrección y Oposición.
La ley también indica que los particulares deberán avisar, a cada persona de la que obtengan
información personal, sobre el tratamiento que planean dar a sus datos. Lo anterior se debe hacer
mediante un aviso de privacidad, el cual deberá ser respetado por el particular, y cada persona
notificada tendrá la libertad de otorgar o no su consentimiento respecto al procesamiento de su
información.
79
Mapa de protección de datos personales
Se ha publicado un mapa con las leyes de protección de datos personales aplicadas en el mundo La
clasificación parece evaluar únicamente el modelo europeo de protección de datos personales, ya que
no incluye a los Estados Unidos como parte de los países con legislación sobre protección de datos
personales[5].
Finalmente, tras dos meses de espera, ha sido publicada en el Diario Oficial de la Federación,
la Ley federal de protección de datos en posesión de particulares. En México sólo existía protección de
datos, para aquella información personal que aparecía en los archivos estatales o de la Administración,
a través de la Ley federal de transparencia y acceso a la información.
Con la nueva ley, las empresas privadas tendrán un periodo de un año para nombrar al
encargado del tratamiento de los datos.
Asimismo, también se estipuló el plazo de un año para la emisión del Reglamento de la ley, que
contendrá las disposiciones específicas. Esperamos que éste, tenga las característica del RD 1720/2007
de España, con las medidas de seguridad de los ficheros que contengan datos personales.
La ley, por supuesto, contempla las figuras de encargado, responsable y tercero; así como el concepto
de datos sensibles, que tendrán que tener un tratamiento especial.
En posteriores entregas, hablaremos más ampliamente de esta ley, de sus aspectos positivos y
de aquellos que son susceptibles de mejora.
Es difícil dar una definición de la "privacidad" puesto que es un asunto subjetivo. Por razones
personales, algunas personas prefieren vivir en sociedad de forma anónima sin que nada interfiera en
sus asuntos. Otras no son reacias a dar a conocer sus detalles personales a cambio de poder acceder a
información, bienes o servicios. Para la mayoría, la privacidad constituye un simple asunto de
seguridad.
Las personas muestran preferencia por acceder a servicios sin tener que rellenar complicados
formularios ni someterse a comprobaciones de referencia. Para ello, pueden mostrarse de acuerdo en
permitir que los sistemas de información rastreen sus movimientos y sus compras
La seguridad está íntimamente ligada a la privacidad. Los sistemas de información seguros
nunca deben revelar datos de manera inapropiada. No podemos afirmar que la revelación de cualquier
información sea un acto sin segundas intenciones. La información es recopilada y procesada siempre
con un propósito determinado.
80
La intención de quienes recogen información personal o hacen negocio con ella y la almacenan
en una base de datos es la de crear perfiles individuales con un objetivo concreto. Los modos en que
los datos personales son revelados, usados y almacenados nos ayudarán a determinar si las tecnologías
de la información están siendo utilizadas para el empoderamiento o para la represión.
Al considerar las formas de medir la privacidad y la seguridad, debemos distinguir entre
distintas clases de privacidad:
La privacidad significa para la mayoría "intimidad" o el derecho de la persona a que nada ni
nadie interfiera en su hogar, su propiedad o su vida privada. Esta puede ser considerada como una
privacidad del "mundo real".
El derecho de las personas a protegerse de las pruebas médicas o genéticas constituye la base
de su intimidad corporal; también comprende el derecho a que la información sobre su salud y
bienestar personal sea protegida por el personal que tiene acceso a ella (médicos, empleadores,
aseguradoras, etc.).
La "privacidad en las comunicaciones" se refiere a la protección contra la interferencia de las
comunicaciones telefónicas o de Internet. El respeto a la privacidad en las comunicaciones constituye
un requisito indispensable para el mantenimiento de las relaciones humanas por medios de
comunicación tecnológica.
La "confidencialidad de la información" es probablemente el aspecto más debatido en el uso de
las computadoras y los sistemas de información. Los sistemas de información tienen la capacidad de
almacenar y procesar con rapidez los datos de un gran número de personas. Es importante garantizar
que dicha información será utilizada únicamente para los fines con que fue recogida y que ésta no será
revelada a terceros sin el consentimiento de los interesados.
8.5 Amenazas a la privacidad en la Web
Al navegar por la Web no somos completamente anónimos; existen varias maneras de recoger
información sobre los usuarios o sus actividades sin contar con su consentimiento[7]:
Cookies (mini archivo de identificación de usuario de páginas Web)
HTTP NavegadoresEs probable que ya exista información sobre su persona publicada en la Web.
Descarga de software libre y de uso compartido Motores de búsqueda Comercio electrónico Correo
electrónico Correo electrónico y criptografía Correo basura (Spam) Peligros en el Chat IRC.
En México, el derecho fundamental a la protección de datos personales está garantizado por la
Constitución (artículo 16) y la correspondiente Ley de desarrollo, denominada de Protección de Datos
Personales en Posesión de Particulares (LFPDPPP) y su reglamento. La primera aparece en 2010 y a
finales del año pasado, la norma reglamentaria. Así, este derecho humano se convierte en fundamental
desde su inclusión en la carta magna y, entre otros aspectos, implica garantías derivadas de éste como
los preceptos acerca de los derechos de acceso, rectificación, cancelación u oposición (derechos Arco)
al tratamiento de los datos personales. Como particulares, como individuos, como titulares de esos
datos personales, pero sobre todo como sujetos de derechos fundamentales, es necesario y cuasi
obligatorio informarse sobre la manera en que está protegido el que estamos analizando, pero también
la forma en que podemos llevar a efecto su auténtico ejercicio. Es el Instituto Federal de Acceso a la
Información y Protección de Datos el órgano garante. Esto es, la institución a la cual podemos acudir
para conocer los dos aspectos antes mencionados y también la que nos apoyará en caso de ver
vulnerados nuestros derechos.
81
Por otro lado, y como contraparte, el órgano regulador de cara al sector empresarial es la
Secretaría de Economía, la cual tiene atribuciones en la materia para crear conciencia entre las
organizaciones sobre sus obligaciones en cuanto a la protección de datos personales (entre las que
destacan la puesta a disposición de sus usuarios o clientes del aviso de privacidad –en donde deben
señalarse las categorías de datos personales que se recopilarán, así como el objetivo para el cual serán
tratados y la duración de dicho tratamiento– y el nombramiento de un encargado de las bases de datos
personales –que dependiendo del tamaño de las empresas puede ser una persona o un departamento-) y
fomentar la cultura de adopción de esquemas de autorregulación vinculante, tal y como dispone la
normativa mencionada.
La adopción de medidas de autorregulación, que se compone de inclusión de códigos éticos
que, por parte de las empresas, complementen las medidas para cumplir con la legislación, disminuyan
las brechas o agujeros de seguridad y, asimismo, reduzcan los montos de las sanciones a las que una
persona física o jurídica puede hacerse acreedora por la inobservancia de las disposiciones de la
LFPDPPP y su reglamento, como por cualquier ataque a sus bases de datos personales, que además de
hacerle acreedor a dicha penalidad, pueden suponer un enorme riesgo en la pérdida de información de
gran valor (teniendo en consideración que los datos personales son uno de los principales activos de las
empresas), así como un enorme desprestigio, falta de fidelidad de los clientes, o incluso finalización de
contrataciones con los mismos.
Ahora bien, uno de los aspectos que debe tomarse en consideración con relación en el
tratamiento de bases de datos personales que hacen prácticamente todas las empresas (la Ley obliga a
la totalidad de las mismas siempre que tengan en su haber esos datos y los utilicen para fines de
difusión y/o comercialización), es el uso de Tecnologías de la Información y la Comunicación (TIC)
en dicho tratamiento. Son muchos los retos a los que se enfrentan tanto las empresas como las personas
en cuanto al uso de la tecnología, e incluso las propias TIC son la razón por la cual en diversos países
inició la preocupación por regular estos aspectos. Esto es, la tecnología que cada vez más proliferaba
en los años ochenta y que supuso inclusive que se desarrollaran muchos análisis teóricos para analizar
los fenómenos que planteaba ésta, desde el punto de vista sociológico o comunicacional, también
supuso estudios y enmiendas en el plano jurídico, toda vez que se consideraba el potencial que podría
tener de vulnerar las esferas de derechos humanos ya protegidos, como el de la intimidad y el del
honor y la propia imagen.
Los instrumentos internacionales que destacan en este sentido, aun cuando el auge de las TIC
apenas o incluso no iniciaba, son la Declaración Universal de los Derechos Humanos de 1948 y el
Pacto Internacional de los Derechos Civiles y Políticos de 1966. En diversos países europeos se inició
el debate en torno a los derechos ahí establecidos, pero con la consecuente agravante que podría
suponer la tecnología. Alemania, por ejemplo, es uno de los primeros países en brindar protección a
los derechos vinculados con la privacidad. En España, tempranamente inician también esos desarrollos
legales, de tal forma que ya en su Constitución de 1978 se establecía un derecho a la intimidad
personal y familiar y se estipulaba que la Ley limitaría el uso de la informática para protegerla.
Esto es, una alusión clara a los inicios del desarrollo de las TIC, que parten de la mencionada
informática, pero que luego entraron en convergencia con los sectores de telecomunicaciones y
audiovisual.
Es por todo esto que las legislaciones en materia de privacidad y protección de datos personales
han considerado desde sus inicios, pero lo hacen con mucho más énfasis y frecuencia en la actualidad,
las implicaciones de la tecnología en la intimidad de las personas. Por ejemplo, en el Reglamento de la
LFPDPPP de México ya se considera el tema del cómputo en la nube (cloudcomputing), por ser una de
las posibles amenazas en el manejo de los datos de personas titulares de derechos fundamentales.
82
Como se dijo, además de las medidas que la legislación impulsa, se tiene la posibilidad de
adoptar medidas adicionales de seguridad y códigos de conducta y éticos, que aúnen las mejores
prácticas, con el fin de proteger las bases de datos personales por varios motivos. Uno de ellos es la
integridad de dichas bases, finalmente, por la importancia que tienen para la organización.Una de las
más importantes es que se evitan penalizaciones derivadas del incumplimiento legal, toda vez que el
régimen de sanciones de la LFPDPPP es sumamente fuerte.
Entre las medidas adicionales de seguridad y los esquemas de autorregulación vinculante se
encuentran aquellas relacionadas con el uso de la tecnología para combatir la tecnología. Es decir, si
las TIC pueden ser potencialmente vulneradoras de la privacidad y los datos personales, con otras TIC
este proceso se puede combatir, revertir o minimizar. “Ése es el caso de las PET Privacy Enhancing
Techonologies) en las que ya se trabaja en distintos países y que, por nuestra parte, ya estamos
diseñando, con un fundamento teórico y doctrinal, en Infotec.”[8]
8.6 conclusiones
La protección de los datos personales son un importante avance para la ejercer nuestro derecho en
cuanto al uso de ellos, en mi opinión personal y por experiencia propia muchas veces me hablaban y
no sabía cómo es que estos datos llegan a ellos, creo que es muy importante debido a que es un tema
muy delicado pues al no tener un control sobre nuestros datos cualquier empresa o persona tenia uso
de ellos.
Creo que México dio un gran paso en cuanto al derecho que tenemos los ciudadanos para
cuidar nuestros datos creo que lo único que falta es el fortalecimiento de las instituciones para poner
multas más fuertes a las organizaciones o empresas que hagan un mal uso de nuestros datos un
ejemplo la multa para BANAMEX se me hace poco comparado al tamaño de la empresa, debería de
ver leyes que sean más fuertes que castiguen a este tipo de organizaciones.
8.7 Referencias
[1] J. T. Eustice y M. A. Bohri, «NAVIGATING THE GAUNTLET: A SURVEY OF DATA PRIVACY
LAWS IN THREE KEY LATIN AMERICAN COUNTRIES,» Sedona Conference Journal, pp. 137-153, 2013.
[2] L. Determann y S. Legorreta, «New Data Privacy Law in Mexico.,» Computer & Internet Lawyer. , pp.
8-11, 2010.
[3] F. Solares Valdes, «Ley Federal de Protección de Datos Personales,» de Ley Federal de Protección de
Datos Personales, Distrito Federal.
[4] Cámara de Diputados, «Ley Federal de Protección de Datos Personales en Posesión de los Particulares,»
Diario Oficial de la Federación, Distrito Federal, 2010.
[5] b:Secure, «México aún no está preparado para la ley de protección de datos: Deloitte,» 15 Febrero 2012.
[En línea]. Available: http://www.bsecure.com.mx/featured/mexico-aun-no-esta-preparado-para-la-proteccion-
de-datos/.
[6] UNAM, «Leyes de protección de datos personales en el mundo y la protección de datos biométricos,»
[En línea]. Available: http://revista.seguridad.unam.mx/numero-13/leyes-de-protecci%C3%B3n-de-datos-
personales-en-el-mundo-y-la-protecci%C3%B3n-de-datos-biom%C3%A9tricos-%E2%80%93.
[7] Asociación para el progreso de las comunicaciones, «Aspectos específicos relativos a las políticas sobre
internet y su regulación,» [En línea]. Available: http://derechos.apc.org/handbook/ICT_21.shtml.
83
The influence of innovation activities and knowledge management on the
competitiveness of manufacturing smes: an empirical study
Luis Aguilera Enríquez, Héctor Cuevas Vargas, Jorge Rangel Magdaleno y Octavio Hernández
Castorena
L. Aguilera Enríquez, H. Cuevas Vargas, J. Rangel Magdaleno y O. Hernández Castorena
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
84
Abstract
This research aims to show the influence of innovation activities and knowledge management on the
competitiveness of manufacturing small and medium enterprises (SMEs). For this, with a sample of
150 SMEs in the manufacturing sector in the state of Aguascalientes, Mexico, a multiple linear
regression analysis was performed in order to evaluate the correlation among the variables used. The
results obtained provide empirical evidence that innovation activities and knowledge management
have a positive and significant impact on the competitiveness of the companies studied.
9 Introduction
In the present day, the importance of small and medium enterprises (SMEs) to the national and
international economy is indisputable. According to the figures produced by the most recent economic
census carried out by the National Institute for Statistics and Geography (INEGI) in 2009, SMEs in
Mexico represent 4.8% of all companies in the country. Furthermore, they generate 26.4% of the Gross
Domestic Product and 31.2% of formal employment.
With very similar figures, SMEs are also very important to the state of Aguascalientes with,
according to INEGI, 5.14% of businesses being this size. Additionally, SMEs provide 24.85% of the
Gross Domestic Product in the state, and 25.81% of economically active people found employed in a
business with these characteristics (INEGI, 2009).
The manufacturing industry occupies a position of transition in the state. 10.52% of the
manufacturing businesses in the state are small or medium in size (INEGI, 2009). According to the
figures produced by INEGI in 2012, Aguascalientes has been one of the states in which the
manufacturing industry, with 27.1%, occupies first place in the generation of Gross Domestic Product;
furthermore, employment is principally provided by the manufacturing sector, at a level of 30.4%. The
total level of remuneration made to people employed by the manufacturing industry rises to 48.7% of
the total remunerations to the employed population in the state.
Despite the importance of this type of company, one of the principal problems that they face is
a lack of innovation. The 2010 Business Environment Survey “Problems Encountered by Businesses in
the Industrial Sector” conducted by the National Chamber for the Transformation of Industry
(CANACINTRA) identified the principal problems encountered by businesses of this type. The results
show that industrial companies are not able to adequately become competitive due to a lack of
technological innovation, to which attested 20% of the 472 industrial companies surveyed
(CámaraNacional de la Industria de Transformación, 2010).
Combined with the foregoing, and in order to keep themselves fully functioning, 13% of the
companies surveyed do not use new suppliers. Reestablishing relationships with existing suppliers,
with whom a greater effort is made to incorporate greater innovation in products, is seen as a viable
alternative to follow in order to confront contemporary challenges (Varma, Wadhwa&Deshmukh,
2006). For their part, SME manufacturers are in the same situation in that that they find it difficult
meeting the challenge of adequately competing with their rivals due to a lack of innovation and
development activities (CámaraNacional de la Industria de Transformación, 2010).
On the other hand, companies are placing ever greater importance on the treatment and
conversion of information, knowledge, and abilities in the workforce, and to this end, knowledge
management. These changes have been identified by various researchers as processes through which
companies’ values are displaced into intangible values Jones, 2004; Maldonado, Martínez&García,
2012).
85
In this sense, Maldonado et al. 2012 , quoting McAdam & Reid 2001 , show how SME’s low
competitiveness could be related to a low level of investment in knowledge management.
To be successful in ever more globalized and highly competitive markets, companies need to
develop new ideas which translate into useful, transmissible and conservable knowledge. From this
emerges the necessity of studying the influence of innovation activities and knowledge management
on companies’ levels of competitiveness. This research, through surveys conducted with managers in a
sample of 150 companies from the manufacturing sector in Aguascalientes, obtained the results
analyzed here through the technique of Multiple Regression, with support from the statistical program
IBM SPSS Statistics version 21. The results show innovation activities and knowledge management as
having a positive and significant influence on the competitiveness of SME manufacturers.
9.1 Literature review
Innovation activities and the competitiveness of SME manufacturers
Currently, the growth of organizations demands, among other options, the reinforcement of innovation
activities (Jiménez, 2006). To do this, it is important to emphasize that, with the influence of
innovation activities, organizations need to have a greater level of competitiveness, especially SME
manufacturers Valentinavičius, 2005). In their research, Pavón& Goodman (1981) consider that
innovation activities influence companies in such a way as to be reflected both in business results and
in a gradual increase in competitiveness (Brunnermeier&Cohen, 2003).
SME manufacturers, through their staff responsible for operational activities, are concerned
with the updating of the methods and strategies that enable them to control their innovation activities
in the best way possible, in order to make their company ever more competitive (Cho, Leem& Shin,
2008). In this way, on being developed in organizations, all innovation activity should have as an
objective the standardization of operations, such as procedures, on being integrated into the
organizational activity of the manufacturing SME (Kickert, 1979; Saren, 1984; Vrakking&Cozijnsen,
1993). This means that it is important that all innovation is for the benefit of the organizations, so that
each activity undertaken internally adds elements to ensure that the company has better results and is,
therefore, more competitive (Bessant& Grunt, 1986).
It is important, therefore, to show that innovation activity is the result of a process of analysis
and study focused on improving some part of the operations on which SME manufacturers rely
(Fernández, 1995; Velázquez, 2007;Aguilera, González & Hernández, 2013). To this end, all
innovation activity that is carried out in each of the company’s internal processes needs to use
strategies that deliver both a beneficial system and a registry of the results of each improvement
implemented. With this the company can evaluate whether the innovation will be a key element in
making it more competitive and, with this, enabling it to perform better (Fernández, 1995; Macdonald,
2000; Aguilera et al., 2013).
86
The European Commission(2011) considers that innovation activity is a key element for the
growth and competitiveness of an organization, which informs those business people seeking to invest
in this option, enabling them to see companies as benefitting in each of the instances of this type of
investment Jaffe & Palmer, 1997; Mineikaitė, 2013 . Innovation activity has been converted into an
essential part of the development of a region and, of course, a company. Currently, for this reason,
many researchers associate this activity with business results in terms of the competitiveness of
manufacturing companies Sternberg, 2000; Cho et al., 2008; Mineikaitė, 2013 .
For the Organization for Economic Co-operation and Development (OECD), innovation
activity has been an important element in normalization. As, from the international point of view, this
is something that should be established, great efforts have been undertaken in the generation of
proposals significant for organizations’ competitiveness and performance, especially for
manufacturing SMEs that demonstrate the following typology (Sternberg, 2000; Panne, Beers
&Kleinknecht, 2003; Chía, 2004; Ozcelik&Taymaz, 2004; Fagerberg, Mowery & Nelson 2005;
Rodríguez, 2013):
a) Innovation in products: Considered as goods and services which are constantly required for
cosmetic improvements, the adoption of technology, and functional adaptations, according to the
requirements of the market.
b) Innovation in processes: Focused on substantial improvements which can be either operational or
administrative, and which have a strong impact on companies’ productivity, effectiveness, and
competitiveness.
c)Organizational innovations: These understand improvements and structural adjustments, as well as
organizations, from the perspective of the implementation and/or improvement of administrative
processes applied to each of the company’s operational areas.
Innovation activities are fundamental to making businesses, such as manufacturing SMEs,
more competitive (Chía, 2004; Ozcelik&Taymaz, 2004; Rodríguez, 2013). To this end the following
hypothesis is proposed:
H1: The competitiveness of the manufacturing SMEs in Aguascalientes is positively and
significantly influenced by innovation activities.
Knowledge management and competitiveness in the SME
Based on various studies conducted by other researchers, some authors define knowledge management
as the interchange of knowledge between individuals with the aim of constructing an information
system which can be used, once information has accumulated (Crnjar, 2006; Bernal, Turriago& Sierra,
2010), to establish a relationship with educational systems. Intervention, in this context, on the part of
technology and internet systems, then gives a sense of benefit and positivity to the management of
information useful for individuals’ development Blanco and Bernal, 2009 . In particular, this benefits
manufacturing SMEs in their continual search for improved performance and competitiveness
(Andreu, Baiget&Salvaj, 2004; Crnjar, 2006).
87
It is hoped that knowledge management in organizations will be a key element, whose
objective will be to cooperate in the improvement of business systems in order to create more
competitive organizations in the face of the dynamic and aggressive contemporary business
environment (Bergeron, 2003; Andreuet al., 2004). In this sense, it is important to emphasize that
business people must be aware that the knowledge generated by individuals is of great importance to
the achievement of business objectives, and to facilitate the sense that, through procedures and
techniques, individuals need to learn and grow in order to be better able to carry out their duties
Črnjar, 2006 .
From an entrepreneurial and business point of view, and through the integration of elements
such as strategies, policies, techniques and specific procedures (Earl, 2001), knowledge management is
an activity through which an operational system can be established. Besides the business objectives
involved, this system focuses on enabling managers to achieve results in terms of manufacturing
SME’s levels of performance and competitiveness. This development of the individual also has great
benefit for the organization in general (Bernal, Fracica& Frost, 2012; Aguilera, Sandoval, Torres &
Rodríguez, 2013).
From a strategic point of view, knowledge management requires the interrelationship between
implicit and explicit knowledge in all intellectual activity and learning. This allows individuals to find
and make collaborative use of knowledge as a group in the interest of ensuring that organizations are
seen to benefit from these types of individual actions (Bernal et al., 2012). From the point of view of
many companies, knowledge management is the intentional and systematic strategy in which
intellectual capital is integrated into business activities with the aim of contributing to the
organization’s performance and competitiveness Bergeron, 2003; Črnjar, 2006 .
Being of intentional and systematic characters, knowledge management, the administration of
human and technological resources, work systems, and other organizational structures all enable
companies to optimize their resources, as seen in their contribution to the innovation required by the
company for improved performance. For this, the generation of knowledge and its appropriate use
enables SME manufacturers to achieve an improved level of development and use of resources. This is
so that the operational systems will benefit in that they are able to rely on an accumulation of
knowledge generated by the individuals that form part of the company, which will in turn facilitate the
work of any other individual working within the same company (Dalkir, 2005).
The basic objective of knowledge management is to develop excellence in a business, and to
work to ensure that this type of organization is competitive in the market. For this, it is important to
ensure that knowledge is a key element within the organization, guaranteeing its performance and
position in these ever more demanding markets. In this sense, knowledge management should consider
the following elements: The efficient development of new and existing knowledge, taking into account
the strategy of the organization and the objectives of the individual employees; the selective
distribution of new knowledge and the transfer of knowledge to other employees; an efficient
distribution of knowledge, such as the information given to all those within the organization; and, the
optimal use of the knowledge generated Črnjar, 2006 .
For the companies and the individuals involved, knowledge represents a way of having
intangible assets whose value depends on how they should be put into practice. This is depends on the
business policies and practices that enable this knowledge to acquire specific value for both the
institution and the individual. Knowledge is an important element to consider in terms of business
performance, which leads to the consideration that the measurement of knowledge management is not
an exact science, as in the case of accountancy or the basic sciences.
88
This measurement should, therefore, be broad and conducted depending on the sector on which
the knowledge management study is focused (Davidson & Voss, 2002; Crnjar, 2006).
It is important to emphasize that, on effectively taking advantage of the benefits of knowledge
management, organizations and especially manufacturing SMEs find it easier to become competitive
in that there is an added value to human capital, as much for individuals as the companies themselves
(Pascale, 2005; Wiig, 2009). In this sense, among the benefits that companies can obtain through
knowledge management are innovation and development, the improvement and optimization of
intellectual capital, the increase of knowledge as well as the abilities of the individual, and with these
improve both internal and external client services (Despres&Chauvel, 2000; Davidson & Voss, 2002;
Crnjar, 2006; Aguilera et al., 2013).
Through the application of knowledge management, a business system can augment its
profitability, create a harmonious environment between the employees and ensure the sustainability
and competitiveness of the organization. Knowledge management initiatives can create added value
for the organizations, based on the fact that the use of knowledge is a key element that can improve the
companies’ performance and competitiveness, providing a significant benefit for both clients and
individuals within the same organization (Sveiby, 2004; Crnjar, 2006; Aguilera et al., 2013).
Knowledge management within an organization naturally involves people, technology and
processes. It is important to emphasize the general consensus that knowledge management depends on
the context, the processes and forms of execution of other functions and processes. This leads to the
emphasis that there are important reasons that a company should promote the following
(Navas&Guerras, 1998; Vázquez, Sánchez & Rodríguez, 2012):
1.- The creation of exponential knowledge benefits for those learning and developing themselves from
the same source, with an impact focused on giving them a greater level of performance in the activities
generated within the business.
2.- Develop the capacity of businesses to rapidly respond to clients, the creation of new markets, the
development of new products and new dominant technologies, based on the fact that knowledge
management takes advantage of and maximizes concentrated information for internal use within the
organizations.
3.- Build mutual confidence between employees and the knowledge held by their manager to the point
where, finally, there is an expectation of incrementing and encouraging cooperation in terms of time
management for whichever of the tasks assigned to the individuals within the organizations.
4.- Manage both the knowledge generated by the experts in a field and the retention of the same, with
the aim that the information obtained be of advantage to the business dynamic of the organizations in
which said information is concentrated.
In this way, the following hypothesis is posited: (Despres&Chauvel, 2000; Davidson & Voss,
2002; Crnjar, 2006; Aguilera et al., 2013)
H2: The competitiveness of manufacturing SMEs in Aguascalientes is positively and
significantly influenced by knowledge management.
89
Theoretical model
Figure 9 Design of theoretical model
9.2 Materials and methods
An empirical study was carried out with a quantitative focus of a correlational and transverse type,
through multiple linear regression analysis. The instrument on which the study was based comprises
52 items measured on a Lickert type scale from 1 to 5, which registers from total disagreement up to
total agreement, and which was conducted with the managers at manufacturing SMEs in the state of
Aguascalientes, México.
The study described above analyzed the use of knowledge management and innovation
activities in manufacturing SMEs in Aguascalientes for improved business competitiveness. The 2014
Business Directory database from the Sistema de InformaciónEmpresarial de México (the Mexican
Business Information System, or SIEM) in the state of Aguascalientes (Department of Finance, 2014),
was taken as the reference for the development of this study, in which are registered 5,209 businesses
until 14th
February of the same year, of which 793 pertain to the industrial sector, and of these, 250 are
SMEs. This study, using a simple random sampling method with a 95% confidence level and a 5.1%
margin of error, applied a personalized survey style measurement to a sample of 150 SMEs from the
industrial manufacturing sector in Aguascalientes. Said information is presented in Table 1, which
makes reference to the research design.
90
Table 9 Research Design
*Source: Sistema de Información Empresarial de México (SIEM), 2014
For the preparation of the measurement instrument, 3 blocks were used: innovation activities,
knowledge management, and competitiveness.
To measure innovation activities, innovation in products, innovation in processes, and
innovation in management were considered (Zahra &Covin, 1993; Kalantaridis&Pheby, 1999;
Frishammar&Hörte, 2005; Madrid-Guijarroet al., 2009). The study had a reliability level of .890, in
line with Cronbach's alpha coefficient, as consistency between the variables can be interpreted
(Nunnally & Bernstein, 1994).
With respect to knowledge management, the four dimensions proposed by Bozbura (2007)
were considered: 1) employee training, measured using a scale of 5 items adapted by Bontis (2000)
and the OECD (2003); 2) policies and strategies for knowledge management measured with a scale of
13 items and adapted by Bozbura (2004, 2007); 3) the creation and acquisition of external knowledge,
measured with a scale of 5 items adapted by the OECD (2003) and Bozbura (2007); and 4) effects of
the organizational culture on knowledge management, measured with a scale of 4 items and adapted by
the OECD (2003) and Bozbura (2007), which has a reliability level of .921, in line with
Cronbach's alpha coefficient, as consistency between the variables can be interpreted (Nunnally &
Bernstein, 1994).
With respect to measurement of competitiveness, the three factors presented by Buckley et al.
(1988) were taken into account: 1) financial performance, measured by a scale of 6 items; 2) cost
reduction, measured by a scale of 6 items; and 3) the use of technology, measured by a scale of 6
items, with a reliability level of .922, in line with Cronbach's alpha coefficient as consistency between
the variables can be interpreted (Nunnally & Bernstein, 1994).
The instrument was submitted to a statistical reliability test, which was carried out using
Cronbach's alpha coefficient with the constructs based on the instrument. The results drawn from said
test being .952, which can be used to interpret that the study is reliable and that there is consistency
between the variables (Nunnally & Bernstein, 1994).
Characteristics Research
Population* 250 Small and Medium Enterprises
Graphic Area State of Aguascalientes, México
Object of the study Manufacturing SMEs of between 11 to 250 workers
Information collection method Personal interviews with managers
Sampling method Simple random sampling
Sample size 150 SMEs
Sampling error ±5.1% error, 95% confidence level (p=q=0.5)
Field work September to October 2012
91
9.3 Results
This study aimed to verify the applicability conditions of the multiple linear regression analysis
applied to the research model in order to determine the influence of knowledge management and
innovation activities on the competitiveness of manufacturing SMEs in Aguascalientes. To this end,
normality, homoscedasticity and lineality tests were carried out, finding that the variables which are
the objects of this study do not present any type of normality, homoscedasticity and lineality problem.
What proceeds from the multiple linear regression analysis conducted using the software SPSS
Statistics V21 is presented in Table 2, which gives a model summary, which was used to obtain an R
value of .806, and an R² value of .650. This indicates that, together, the variables of knowledge
management and innovation activity are matched by 80.6% with the competitiveness of manufacturing
SMEs in Aguascalientes, and that, together, they explain 65% of the competitiveness of manufacturing
SMEs in Aguascalientes.
Table 9.1 Model summary
Model R R Square Adjusted
R Square
Std. Error of the
Estimate
Durbin-Watson
1 .756a .571 .568 .526
2 .806b .650 .645 .477 1.485
A. Predictor variables: (constant), innovationactivity
B. Predictor variables: (constant), innovationactivity, knwoledgemanagement
C. Dependent variable: competitiveness
Source: Original production based on the results of multiple linear regression
From the results of the linear regression presented in Table 3, it can be concluded that around
62.6% of the competitiveness of manufacturing SMEs in Aguascalientes is due to innovation activities.
This significantly influences competitiveness, with a value t of 11.643, to a level of significance of
0.001. In same way, the knowledge management variable influences the competitiveness of the
manufacturing SMEs in Aguascalientes by 30.9%, with a value t of 5.738. Together, innovation
activities and knowledge management explain 64.5% of competitiveness, with a value F of 136.297,
which is significant for its value of p < 0.001. In terms of the collinearity statistics, an FIV of 1.214
was obtained, which indicates that the model does not present multicollinearity problems due to the
proximity to the number one (Hair, et al., 1998).
92
Table 9.2 Results of the linear regression analysis
Source: Original production based on the results of the multiple linear regression
The model has also been validated by dividing the sample into two sub-samples and, on being
run with the two sub-samples, the results obtained are similar in terms of R², due to there being no
more than a 10% difference between these and the original sample (Hair, et al., 1998).
According to the results obtained, equation Y, which represents the competitiveness of
manufacturing SMEs in Aguascalientes, is presented below.
Competitiveness = β0+ (β1*innovation activities) + (β2*knowledge management) + e
With the objective of presenting anomalous observations, Figure 2 shows the studentized
residuals and whether there are data that serve as outliers. These are presented in the upper part of the
graph above the red line, and below the red line in the lower part, which shows the limits of the two
standard errors.
Variables Competitiveness
0.626***
(11.643)
0.309***
(5.738)
Adjusted R² 0.645
F- statistic 136.297***
Highest FIV 1.214
***P < 0.001
The value between parentheses represents the value of “t”
Innovation Activities
Knowledge Management
93
Figure 9.1 Graph of studentized residuals
Source: Original production based on the results of the multiple linear regression
Therefore, the results obtained in this study verify its hypotheses. Regarding H1, the results (β=
0.626, p < 0.001) indicate that innovation activities have significant effects on the competitiveness of
manufacturing SMEs in Aguascalientes. This is due to the fact that innovation activities positively
influence the competitiveness of manufacturing SMEs in Aguascalientes by 62.6%, and that, therefore,
H1 is accepted. With regard to H2, the results obtained (β= 0.309, p < 0.001) indicate that knowledge
management has significant effects on the competitiveness of manufacturing SMEs in Aguascalientes.
This is by virtue of the fact that knowledge management positively influences the competitiveness of
manufacturing SMEs in Aguascalientes by 30.9%, and that, therefore, H2 is accepted.
9.4 Conclusion
In an ever globalized environment, it is important to be prepared to face the challenges of a dynamic,
and even unstable, market. Aspects such as innovation and knowledge management represent factors
of great importance to the competitiveness of organizations, and, considering the factors shown here,
represent a more effective way of confronting the challenges posed by the external environment.
In terms of innovation, great interest in this area has been awoken in researchers, who have
taken it into consideration as part of their research, reaffirming it as a determinant in business
performance and an influence on competitiveness, a reality shared by manufacturing SMEs in
Aguascalientes. The results obtained in this study allow the inference that innovation activity
positively influences the competitiveness of the sample of SMEs from the manufacturing industry
featured here.
Within innovation activities, it is possible to emphasize the importance of the intervention of
specialized external consultancy as an agent of innovation performance, which has repercussions on
the competitiveness if the company.
Owing to their high level of specialization in particular themes, specialized external
consultancy services, also known as “outsourcing”, commonly have greater knowledge of the current
situation in the industry itself, which is then manifested in both the organization in question and others.
These consultants also provide a more objective perspective, as well as maintaining up-to-date
information and future trends useful for the decision-making process, enabling the explosion of
innovation activities in SMEs.
On the other hand, SME managers must maintain an awareness of the importance of the
generation and consolidation of knowledge in various functions and processes in the company. This
enables the motivation of employees in order that the innovations developed are converted into useful
94
knowledge for the organization. Moreover, innovations can be transmitted to colleagues horizontally,
diagonally and vertically, both on descending and ascending axes, without leaving to one side their
transfer to new staff, who will be able to apply this new dexterity to their functions and facilitate their
incorporation into the company.
Finally, it is relevant to emphasize the necessity of establishing mechanisms, through policies
and programs, which facilitate and incentivize the generation and development of knowledge. This is
with the objective of ensuring that this is consolidated in the company and that those employees who
possess this knowledge achieve permanency in their post, and, in the case of retirement, the knowledge
generated is passed on and continues being developed in the company.
Limitations
Within the limitations, it should be emphasized that the surveys were answered from the point of view
of managers from the companies, which is likely to have lent subjectivity to their answers.
Furthermore, the quantity of companies studied may not be representative on comparing them with all
the companies in the manufacturing industry in the state of Aguascalientes, which is only slightly
above thirty percent. Future research could evaluate the possibility of widening the focus of the study,
considering that, with companies of different dimensions, a comparative industrial analysis can be
carried out in other geographic areas and/ or sectors of production in order to increment the validity of
the theoretical model used. Finally, it is advised that new constructs are established with the variables
used to amplify the results and compare them with the conclusions presented in this article.
9.5 References
Aguilera, E. L., González, A. M. y Hernández, C. O. (2013). La influencia de la actividad innovadora
en la actividad de operación en la pyme de Aguascalientes para una mejor competitividad empresarial:
un estudio empírico. Global Conference on Business and Finance Proceedings. 8 (1). ISSN 1941-9589
ONLINE & ISSN 2168-0612 USB Flash Drive 1011.
Aguilera, E. L., Sandoval, R. C. A. G., Torres, R. J.J. y Rodríguez, C. R. (2013). La gestión del
conocimiento como elemento de competitividad en la industria manufacturera en Aguascalientes.
Global Conference on Business and Finance Proceedings, 8 (1). ISSN 1941-9589 ONLINE & ISSN
2168-0612 USB Flash Drive 642.
Andreu, R., Baiget, J. y Salvaj, E. (2004). Gestión del conocimiento y competitividad en la empresa
española. Barcelona: CapGemini-IESE.
Bergeron, B. (2003). Essentials of Knowledge management. New Jersy:Wiley
Bernal, C., Turriago, A. y Sierra, H. (2010). Aproximación a la medición de la gestión del
conocimiento empresarial. Revista Administer, 16. 31- 49.
Bernal, T. C. A., Fracica, N. G. y Frost. G. J. S. (2012). Análisis de la relación entre la innovación y la
gestión del conocimiento con la competitividad empresarial en una muestra de empresas en la ciudad
de Bogotá.
Bessant, J. y Grunt, M. (1986). Management and manufacturing innovation in the United Kingdom
and West Germany (Aldershot: Gower).
Blanco, C. y Bernal, C. (2009). Percepciones sobre la gestión del conocimiento por parte de una
muestra de directivos. Cultura, Tecnología y Patrimonio, 4(7). 81-97.
95
Bontis, N. (2000). Intellectual capital and business performance in Malaysian industries. Journal of
Intellectual Capital, 1 (1), (pp. 85-100).
Bozbura, F.T. (2004). Measurement and application of intellectual capital in Turkey. The Learning
Organization. An International Journal, 11 (4/5), (pp. 357-367).
Bozbura, F.T. (2007). Knowledge management practices in Turkish SMEs. Journal of Enterprise
Information Management, 20 (2), (pp. 209-221).
Bradley, K. (1997). Intellectual capital and the new wealth of nations. Business Strategy Review, 53-
62.
Brunnermeier, S. y Cohen, M. (2003). The Determinants of Environmental Innovation in US
Manufacturing Industries. Journal Environmental Economics and Management, 45(1). 278-293.
Buckley, J.P., Pass, L.C., y Prescott, K. (1988). Measures of international competitiveness: A critical
survey, Journal of Marketing Management, 4(2), 175-200.
Cámara Nacional de la Industria de Transformación. (2010). Encuesta de Entorno Empresarial 2010:
"Principales problemas que afectan a las empresas". México: CANACINTRA.
Chía, G. J.A. (2004). La obtención sistematizada de información sobre la actividad innovadora de las
empresas por medio de las encuestas nacionales de innovación. Ciencias de la Información, 35 (3).
Cho, Y.J., Leem, Ch.S. y Shin, K.T. (2008). The relationships among manufacturing innovation,
competitiveness and business performance in the manufacturing industries of Korea. International
Advanced Manufacturing Technology, 38(1). 840-850.
Črnjar, . 2006 . Contribution of knowledge management to the development of the hotel enterprise’s
competitiveness. International Conference of the Faculty of Economics Sarajevo.
Cruz, J., Hernández, O., & Rangel, J. (2014). La influencia del café de Judith en Octavio y Jorge (y el
jaguar). Revista de chistes de la UAA, 20-32.
Dalkir, K. (2005). Knowledge management in the theory and practice. Oxford: Elsevier
Davidson, C. y Voss, P. (2002). Knowledge management. Auckland: Tandem Press.
Despres, C. yChauvel, D. (2000). Knowledge Horizons, The Present and the promise of KM.
Boston:BH.
Earl, M. (2001). Knowledge Management Strategies: Toward Taxonomy. Journal of Management
Information Systems, 18(1). 215-233.
Edvinson, L., & Malone, M. (1999). El capital Intelectual: cómo identificar y calcular el valor de los
recursos intangibles de su empresa. Barcelona, España: Gestión 2000.
European Commission. 2011 . Innovation Union Scoreboard. The Innovation Union’s Performance
Scoreboard for Research and Innovation.
Fagerberg, J., Mowery, D. C. y Nelson, R. R. (2005). The Oxford Handbook of Innovation. New
York: Oxford UniversityPress.
96
Fernández, I. (1995). La Formación para la Gestión. Formación Para la Innovación. 111.
rishammar, J. and Hörte, S., 2005 , “Managing external information in manufacturing firms: the
impact of innovation performance”, Journal of Product Innovation Management, Vol. 22, pp. 251-266.
Hair, J.F., Anderson, R.E., Tatham, R.L. y Black, W.C. (1998). Multivariate Data Analysis (5th
Edition). New Jersey: Prentice Hall.
Instituto Nacional de Estadística y Geografía. (2009). Micro, Pequeña, Mediana y Gran Empresa:
"Estratificación de los Establecimientos". Censo Económico 2009. Aguascalientes: INEGI.
Instituto Nacional de Estadística y Geografía. (Junio 2012). Perspectiva Estadística Aguascalientes.
INEGI.
Jaffe, A. y Palmer, K. (1997). Environmental Regulation and Innovation: A. Panel Data Study.
TheReview of Economics and Statics, 79( 4). 610-619.
Jiménez, A.E. (2006). Diseño y Aplicación de una Metodología para la elaboración de la estratégica
tecnológica en la Empresa de Desmonte y Construcción de Pinar del Rio. Tesis en opción al grado
científico de Máster en Ciencias Económicas. Universidad de Pinar del Rio.
Jones, K. (2004). An investigation of activities related to knowledge management and their impacts on
competitivieness. Lexington, Kentucky: University of Kentucky.
alantaridis, C. and Pheby, J., 1999 , “Processes of innovation among manufacturing SMEs: the
experience of Bedfordshire”, Entrepreneurship and Regional Development, Vol. 11, pp. 57-78.
Kickert, W. J. M. (1979). Organization of decision-making. A systems-theoretical approach
(Amsterdam: North-Holland Publishing Company).
Macdonald, S. (2000). Information for Innovation: Managing Change from an Information
Perspective. Oxford University Press, Oxford UK.
Madrid-Guijarro, A., Garcia-Perez-De-Lema, D. and Van Auken, H., 2009 , “Barriers to innovation
among Spanish manufacturing SMEs”, Journal of Small Business Management, Vol. 47 No. 4, pp.
465-488.
Maldonado, G., Martínez, M., & García, R. (2012). La influencia de la gestión del conocimiento en el
nivel de competitividad de la Pyme manufacturera de Aguascalientes. Investigación y Ciencia de la
Universidad Autónoma de Aguascalientes, 24-32.
McAdam, R., &Reid, R. (2001). SME and large organization perception of knowledge management:
comparisons and contrast. Journal of Knowledge Management, 231-241.
Mineikaitė, E. 2013 . Innovative activity opportunities for the development of lithuania‘s regions:
methodological approach. Regional Formation and Development Studies, 2 (10).
Navas, J. E. y Guerras, L. A. (1998). La dirección estratégica de la empresa. Teoría y aplicaciones.
Madrid: Cívitas.
Nunnally, J.C. and Bernstein, I.H. (1994), PsychometricTheory, 3ª Ed. New York: McGraw-Hill.
97
OECD. (1997). Oslo Manual. Proposed Guidelines for collecting and interpreting technological
innovation data. Eurostat.
OECD. (2003). Measuring Knowledge Management in the Business Sector. Ottawa, Canada:
Organization for Economic Cooperation and Development (OECD), Minister of Industry.
Ozcelik, E. y Taymaz, E. (2004). Does innovativeness matter for international competitiveness in
developing countries. Research Policy, 33(1). 409-424.
Panne, G., Beers, C. y Kleinknecht, A. (2003). Success and Failure of Innovation: a Literature Review.
International Journal of Innovation Management, 7(3). 309.
Pascale, R. (2005). Gestión del conocimiento, innovación y productividad: Exploración del caso de la
industria manufacturera uruguaya. Recuperado el 7 de enero de 2010, de
http://www.uoc.edu/in3/dt/esp/pascale0605.html
Pavón, J. y Goodman, R. (1981). Proyecto MODELTEC. La Planificación del Desarrollo tecnológico.
Madrid: CDTI-CSIC. 19.
Rodríguez, M. J. (2013). Las dificultades en el desarrollo de productos como actividad innovadora: la
perspectiva del diseño industrial. RevistaGestión y Estrategia.
Saren, M. A. (1984). A classification and review of models of the intra-firm innovation process.
Research and Developmentmanagement, 14(1). 14.
Secretaría de Economía. (14 de febrero de 2014). Sistema de información Empresarial Mexicano.
Obtenido de Directorio de Empresas:
http://www.siem.gob.mx/siem/estadisticas/estadotamanoPublico.asp?tam=3&p=1
Sternberg, R. (2000). Innovation Networks and Regional Development – Evidence from the European
Regional Innovation Survey: Theoreticla Concepts, Methodological Approach, Empirical Basis and
Introduction to the Theme Issue. European Planing Studies, 8 (4). 389.
Sveiby, K. (2004). What is Knowledge management?.
http://www.sveiby.com/articles/KnowledgeManagement.html. Accessed 10 May 2012.
Valentinavičius, S. 2005 . Innovation as an Accelerator of Competitiveness and Economic
Development. Ekonomika, 70(1). 50.
Varma, S., Wadhwa, S., &Deshmukh, S. (2006). Implementing supply chain management in a firm:
issues and remedies. Asia Pacific Journal of Marketing and Logistics, 223–243.
Vázquez, A. G., Sánchez. G. J. y Rodríguez. C. R. (2012). Impact of Knowledge Management and
Intellectual Capital on Competitiveness of SMEs Manufacturing in the Western Region of Mexico.
CF, 10(1).
Velázquez, L. G. (2007). Porque y como innovar en las pequeñas y medianas empresas. Disponible en:
http://www.gestiopolis.com
Vrakking, W.J. y Cozijnsen, A.J. (1993). Monitoring the quality of innovation processes and
innovation successes, Journal of Strategic Change, 2, 65-81.
98
Wiig, K. (2009). Knowledge Management for the Competitive Enterprise. Arlington, TX: Knowledge
Research Institute.
Zahra, S. and Covin, J., 1993 , “Business strategy, technology policy and firm performance”,
Strategic Management Journal, Vol. 14 No. 6, pp. 451-478.
99
Adopción del Expediente Clínico Electrónico en México: Revisión del Estado
Actual
Javier Ramos González
J. Ramos
Universidad Iberoamericana
M. Ramos, P. Solares, E. Romero (eds.).Gobierno de tecnología de información, Tópicos Selectos de Ingeniería,
©ECORFAN-Bolivia. Sucre, Bolivia, 2014.
100
Abstract
I present a brief review of the actual status in the adoption of Electronic Health Record in Mexico. I
reviewed investigation articles and official information from the main health institutions and
federal regulation. I describe the experience of the main health institutions and the structure of
the regulation, remarking the lack of specific definitions and a clear nationwide strategy to allow
the focus of the different efforts. I present also a new public and private partnership (PPP) focus for
the investment on new health institutions that is currently the most solid effort in the adoption of the
EHR as an integrated system.
10 Introduccion
El presente documento pretende hacer una breve revisión sobre la situación actual de la
implementación del Expediente Clínico Electrónico en México, utilizando información proveniente
de diversos artículos de investigación e información oficial se realiza una breve semblanza de los
principales beneficios, la experiencia existente en las principales instituciones de salud del
país y la regulación existente para el uso del expediente clínico electrónico y el requerimiento de
interoperabilidad.
10.1 Definición de ECE
Un expediente clínico electrónico (ECE) es la recolección electrónica de información referente
al estado de salud de un paciente o una población. Actualmente un ECE junta información de
relevancia de diferentes ámbitos del paciente, incluyendo referencias clínicas, administrativas,
demográficas, de historial clínica, alergias, medicación, resultados de estudios y cuenta del
paciente.
El ECE está diseñado para informar con precisión y en todo momento el estado actual del
paciente, permitiendo que sea consultado y actualizado por diferente personal médico que requiere
del acceso, lo cual ayuda a mantenerlo actualizado desde los diferentes puntos de vista de atención al
paciente. El recurso del ECE se concibe como una herramienta interoperable que puede integrar
información médica proveniente de otros sistemas como son resultados interpretados de imágenes
clínicas, estudios de laboratorio o información en tiempo real sobre los signos vitales del paciente.
Un ECE se organiza a través de módulos que permiten diferentes funcionalidades de
operación, control y registro de la actividad clínica para el paciente, en México se utiliza la NOM-
024-SSA3-2012 “Sistemas de información de registro electrónico para la salud” la cual establece las
funcionalidades principales del mismo.
Pilares y Módulos de un ECE:
Atención Médica: Concentrado en los registros clínicos efectuados durante la interacción
con el paciente.
Administración y Ordenes de Resultados: Manejo de las solicitudes de
medicamentos, estudios y auxiliares de diagnóstico, así como el correspondiente flujo de
verificación, solicitud y entrega de resultados en tiempo real. .
Gestión Administrativa: Manejo de consentimientos, soporte a la comunicación de
documentos clínicos.
101
Gestión Clínica: Manejo del historial del paciente, lista de alergias, reacciones adversas,
medicación actual, inclusión de información clínica externa.
Prevención a la Salud: Gestión de campañas y alertas preventivas en el cuidado
Salud Publica: Manejo de notificaciones de salud pública
Soporte a Decisiones: Inclusión de guías de práctica clínica, protocolos, documentos de soporte. Manejo de la información sobre referencias e identificación de patrones.
Infraestructura Tecnológica: Concentrado en el manejo estándar de la información con
niveles adecuados de seguridad que permitan intercambio de información entre diferentes
dependencias.
Informática Médica y Estándares de Terminología: Inclusión de terminología estándar
aceptada internacionalmente como LOINC, CIE-9 y CIE-10.
Plataforma de Interoperabilidad: Inclusión de estándares para el intercambio de
información como HL7
Seguridad: Manejo de autenticación e identificación electrónica a través de perfiles,
control de accesos a la información de acuerdo al perfil, registro de rastros de auditoría,
interoperabilidad con sistemas estatales de información.
Soporte a Decisiones: Enfocado al registro y control de información que mejore los
procesos de toma de decisiones en distintos niveles.
Gestión Clínica: Registro de pacientes, manejo de reporte obligatorio de
bioestadística.
Gestión Administrativa: Directorio de personal clínico, organización de recursos
humanos y materiales para emergencias.
Salud Pública: Generación de reportes, monitoreo y análisis de estadísticas.
10.2 Beneficios
Los beneficios que generalmente se asocian a un ECE han sido ampliamente comentados en
diferentes países y estudios, del mismo modo que un ECE abarca todas las áreas de un hospital que
se relacionan con la atención del paciente los beneficios comprenden una amplia variedad de
situaciones, en general podemos citar beneficios desde los siguientes puntos de vista:
102
- Mejora de calidad en la atención de paciente
El más controversial hasta el momento es la mejora de la calidad en la atención al
paciente, dado que la calidad en el contexto del cuidado de la salud se entiende como la
recuperación de la salud con el menor riesgo posible de complicaciones con la mejor relación
costo beneficio y la mayor satisfacción del paciente [1] resulta muy complicado evaluar la
misma y posteriormente vincular los resultados del estudio al correcto uso de un ECE que
cuente con los mínimos módulos necesarios para permitir el desarrollo de la práctica médica
relacionada al estudio.En este mismo tema han existido esfuerzos para realizar una medición de
la calidad con base en un tratamiento específico, donde se han definido indicadores de medición
de la calidad obtenidos a través del uso del expediente clínico electrónico, donde la
información del mismo no fue totalmente confiable sin embargo el resultado fue
congruente con la situación actual del país. [2]
- Mejora de tiempos de espera en la atención
En el rubro de la mejora de tiempos, la mecánica de introducción inicial de un ECE, así como
cualquier sistema, implica una curva de aprendizaje que causará un aumento de tiempo y
esfuerzo, principalmente por parte del personal clínico [3].
- Mejor control de insumos en la atención médica
Gracias a la introducción de la receta electrónica y el control de los inventarios como unidosis el
ECE permite un registro detallado a través de todo el proceso de abasto hasta la entrega al
paciente, permitiendo así rastrear cualquier problema y reducir el uso excesivo de medicamentos.
- Reducción de tiempos de entrega de estudios
Dada la premisa de interoperabilidad, el ECE se integra con otros sistemas que rodean la
atención del paciente, como son monitores de signos vitales, estudios de imaginología y estudios
de laboratorio. Mediante la integración a través de un ECE, la solicitud y entrega de
resultados se hace a través del mismo, permitiendo así que el resultado de los estudios llegue
de forma inmediata al personal clínico correspondiente. En el caso de imagen, se puede definir si
las imágenes deberán estar disponibles para consulta desde que se toman o hasta que sean
interpretadas por un técnico, cabe destacar que mediante este proceso se evita la impresión
de las imágenes pues todo el ciclo se maneja de forma digital.
- Mejora de procesos hospitalarios al centralizar la funcionalidad en el expediente
De manera similar a los estudios, el ECE se encarga de agrupar toda la atención
alrededor del paciente, presentando una sola vista para todo el personal clínico involucrado
y de esta forma evitar perdida de información o duplicidades. El ECE permite que todo el
personal tenga la información actualizada y tenga conocimiento del estado actual del paciente,
así como sus estudios, medicaciones, antecedentes, programaciones quirúrgicas, etc. Lo que
permite que la atención posea un flujo continuo a través de diferentes departamentos.
- Reducción de tiempos en la obtención de estadística hospitalaria
Tal como lo define la NOM-024 en su sección de soporte a decisiones y capítulo de
seguridad pública, siente cuenta con toda la información tanto clínica como administrativa
que permite integrar reportes de estadística.
103
Tanto de la operación clave de un Hospital hasta vigilancia epidemiológica, por
supuesto son dos caras muy distintas de la misma funcionalidad por lo que deberá haber
diferentes responsables pero el ECE tiene la capacidad de integrar la información de todos los
pacientes y su proceso de atención.
- Disponibilidad de Expediente Clínico entre diferentes instituciones gracias a la
interoperabilidad
A nivel regional y nacional este es el más grande beneficio asociado a un ECE, pues posee
implicaciones en el proceso de atención de la salud que apoyan a la cobertura universal de salud
y son de particular interés para la secretaría de salud federal. En este tema muchos países han
intentado generar un esquema nacional que permita a los pacientes atenderse en cualquier
hospital sin la necesidad de perder todo su historial clínico, sin embargo es la meta más
complicada pues países con alto grado de integración tecnológica como E.E.U.U. el cual
inició en 2004 su proceso de migración al ECE, estima que será hasta 2024 cuando consolide un
sistema de salud interoperable a nivel nacional [3] como otro ejemplo Canadá inició un
esfuerzo similar en 2001 impulsando fondos y políticas nacionales para el establecimiento de
una estructura de ECE con interoperabilidad nacional, para el año 2011 únicamente el 36% de
los médicos utilizaban un expediente y se encontraban por detrás de E.E.U.U. que había iniciado
tres años más tarde [4]
- Reducción de costos al eliminar complejidad y duplicidades
Como toda implementación de sistemas, la adopción de un ECE supone replantear la forma
en que trabajan algunos de los procesos más importantes de un Hospital, tanto clínicos como
administrativos, esto representa una valiosa oportunidad para mejorar los procesos
simplificándolos a través del uso del ECE. Además de la simplificación de procesos un ECE
que tenga integrada la seguridad del paciente con temas como referencias a protocolos de
atención, alertas de contraindicaciones y reacciones de medicamentos puede generar
reducción de costos en la atención de los pacientes.
Este beneficio resulta ser de los más esperados y complicados de obtener, pues es
necesario un estudio del costo total de propiedad para cada sistema, tomando en cuenta
que no todos los hospitales tienen la infraestructura y el personal especializado para mantener
un ECE, de esta forma Eastaugh comenta que en E.E.U.U normalmente se espera ver mejoras
de productividad después de 2 años de la implementación y ahorros de costos hasta el punto
de retorno de la inversión entre 5 y 7 años después de la misma [5].
- Mejora de la seguridad del paciente
Tal como he mencionado en puntos anteriores, un ECE se involucra en todo el ciclo de la
interacción con el paciente, y es por esta razón que puede incluir funcionalidad que se asegure de
cuidar la seguridad del paciente, un tema básico cubierto es la identificación del paciente, un
ECE puede valerse de la lectura de códigos de barra en pulseras de paciente para cumplir este
objetivo pero también hay funcionalidad mucho más compleja como la identificación de
contraindicaciones en los medicamentos prescritos por un médico y módulos para
documentar eventos adversos, recordatorios para la toma de medicamentos e inclusión de
instrucciones para cuidados y estudios especiales. [5]
104
En México tal como podemos observar en la definición de módulos de acuerdo a la
SSA se busca obtener resultados en varios de los beneficios esperados de un ECE, en un
análisis rápido podemos asociar los capítulos con os beneficios esperados para cada uno:
Atención médica: mejora de la calidad, mejor control de insumos, reducción de
tiempos
Infraestructura tecnológica: Disponibilidad del expediente a través de
interoperabilidad, reducción de tiempo en entrega de estudios.
Soporte a decisiones: Mejora de tiempos y calidad de estadística hospitalaria, mejora
de procesos.
Aparte de los beneficios reportados en la integración de la información y mejora de
procesos existen estudios que vinculan la calidad en la atención a través del seguimiento
adecuado de los procesos definidos y la calidad en el llenado de los documentos presentes
en el Hospital, es aquí donde cobra gran fuerza la definición de un ECE como herramienta
de control integral de procesos y calidad. En un estudio realizado a 18 Hospitales en
Guadalajara se encontró que la falta de estandarización de procesos y la presencia de un
sistema de información deficiente es identificado en el 22% de los casos como inhibidor de
la calidad, así como un deficiente llenado del expediente clínico en un 33% de los casos [6]
10.3 Regulación
Tal como se mencionó anteriormente, la regulación aplicable en México es la NOM-024-
SSA3-2012 la cual es de carácter obligatorio, la estructura de la norma define que se
crearán de manera separada guías y formatos para intercambio de información en salud,
anteriormente la NOM-024-SSA3-2010 definía secciones, capítulos e índices donde para
cada índice describe funcionalidades mínimas que debía de cumplir un ECE, también
contenía un apéndice normativo con los catálogos de información estándar, que son los
campos mínimos que deberá de recolectar un ECE para cada tipo de objeto.
Para la actualización del 2012 se removieron todas las definiciones de
funcionalidad esperadas y se dirigió esta tarea a las guías y formatos que definiría
posteriormente la DGIS.
La NOM-024 busca estandarizar la estructura de un ECE para facilitar el camino
a la interoperabilidad entre diferentes instituciones al mismo tiempo que busca
cubrir funcionalidad clave y acercar los sistemas existentes con diferentes programas
gubernamentales.
A continuación plasmo en una tabla la estructura de la NOM-024-SSA3-2010
Sección Capítulo Índice Funcionalidad
Apéndice normativo b Catálogos B Catálogos
Objetos A Campos
Atención
Médica
Administraci
On de ordenes y resultados
1.1 Administración de órdenes y medicamentos
Administración de referencias y de
105
Resultados
Administración de solicitudes, referencias y resultados
para unidades de apoyo de diagnóstico o tratamiento
Administración del manejo de medicamentos en el
paciente
Administrar perfiles de diagnóstico y tratamiento
Generar solicitudes para atención del paciente
Solicitud de auxiliares de diagnóstico
Solicitud de productos de sangre y hemoderivados
Gestion
Administrativ a
1.2 Consentimientos y autorizaciones
Flujo clínico de gestión de asuntos
Soporte de comunicación clínica
Gestion
Clinica
1.3 Administración de datos demográficos de un paciente
Administración de lista de medicamentos
Administrar listas de alergias y reacciones adversas
Administrar listas de problemas
Administrar listas de resúmenes
Captura, administración y revisión de información
clínica
Registrar documentos clínicos externos
Registro, actualización y administración de historia
clínica del paciente
Prevencion a
La salud
1.4 Notificaciones y recordatorios de servicios preventivos
y de bienestar
Presentar alertas para servicios preventivos y de salud
Soporte al cuidado de salud: cuidado preventivo y
bienestar
Salud
Publica
1.5 Soporte de notificación y respuesta
Soporte de salud pública
Soporte para el monitoreo y seguimiento de respuesta
de notificaciones de salud individual del paciente
Soporte a
Decisiones
1.6 Administrar información clínica para facilitar el
soporte de decisiones
Generar y guardar las instrucciones específicas por
paciente
Ordenes, referencias, resultados y
106
Administración del cuidado
Planes de cuidado de salud, guías clínicas y protocolos
Planes de cuidado, guías clínicas y protocolos
Soporte de acceso al conocimiento
Soporte de evaluaciones clínicas estandarizadas
Soporte de identificación de problemas potenciales y
patrones
Soporte en la administración de medicamentos e
inmunizaciones
Soporte para evaluaciones de pacientes con base en
contextos
Infraestruc tura
tecnológic a
Informatica medica
y estandares de
terminologia
3.1 Informática médica y estándares de terminología
Mantenimiento de informática de salud
Mapeo de terminologías locales, códigos y formatos
Plataforma
De interoperabi
lidad
3.2 Estándares de intercambio de información
Interoperabilidad basada en estándares
Seguridad 3.3 Autenticación
Autorización de entidades
Confidencialidad y privacidad del paciente
Consultas de información del expediente clínico
electrónico
Control de acceso
Intercambio seguro de datos
Interoperabilidad de los sistemas estatales, nacionales
e institucionales
Rastros de auditoria
Ratificación de la información
Ruteo seguro de la información entre entidades
autorizadas
Sincronización
Soporte a
decisiones
Gestion
administrativ a
2.2 Directorio de personal de salud
Disponibilidad de recursos de salud disponibilidad de
recursos materiales y humanos en salud para
situaciones de
107
Emergencia
Mantenimiento de funciones de soporte a decisiones
Gestion clinica 2.1 Directorio de pacientes
Episodios en el cuidado de la salud
Notificación a registros nacionales y especiales de
reporte obligatorio
Relación de paciente con familiares y contactos
Salud
Publica
2.3 Generación de reportes
Mediciones, monitoreo y análisis
Nom024-ssa3-2010 [14]
Existen aún hay muchos problemas respecto al uso del ECE en México, esta norma
representa el primer paso hacia la estandarización de la información y módulos manejados en
un ECE sin embargo aún carece de las guías y formatos necesarios para establecer un marco de
referencia específico.
De acuerdo a la NOM en sus índice 6.1.4 específica que “Las Guías y Formatos
especifican el detalle del intercambio de información entre Prestadores de Servicios de Salud [
” [7] en su índice 6.1.5 establece a la DGIS como responsable de su desarrollo “La elaboración y
actualización de las Guías y Formatos es coordinado por la Secretaría en su carácter de
coordinadora del SNS, a través de la DGIS, por medio del procedimiento que para este fin
publique la Secretaría” [7] sin embargo al realizar una revisión de la página de la DGIS sólo se
tienen dos guías publicadas [8]:
Arquitectura de Referencia: En este documento la DGIS hace referencia a los
estándares más utilizados en la industria referentes a interoperabilidad y perfiles de
comunicación entre sistemas de información en salud, por lo que no concreta una arquitectura
estándar personalizada al funcionamiento de las instituciones del país, dejando a criterio de
cada institución la arquitectura del sistema que utilizará y por lo tanto no establece un marco
mínimo que apoye a la interoperabilidad. El documento cita en sus declaraciones:
“La información, diagramas, bibliografía y demás referencias plasmadas en el
presente documento son propiedad de sus respectivos dueños. Este documento únicamente es una
referencia a cada uno de ellos, para tener acceso y poder hacer uso de los mismos, se deberán
observar las disposiciones, lineamientos, costos y/o procedimientos para su adquisición de forma
directa con sus autores.” [9]
Guías y formatos para el intercambio de información en salud para un SGSI en salud:
En este documento la DGIS refiere un marco de referencia para la implementación de un sistema
de gestión de seguridad de la información basado en ISO 27799 mismo que toma la norma
ISO/IEC 27002. [10]
108
Como podemos observar se han tomado los primeros pasos para regular y organizar
el uso del ECE a nivel nacional, sin embargo las políticas no cuentan con un nivel de
especificidad apropiado para orientar un adecuado desarrollo de procesos para la
interoperabilidad, simplemente se han identificado y nombrado los estándares
internacionales más usados para la definición de procesos e intercambio de información en
materia de salud.
Desgraciadamente se identifica un retroceso, en la publicación de 2010 existía una
identificación de los módulos mínimos requeridos para un ECE mientras que en la
actualización al 2012 se delegó esa tarea a las guías y formatos que serían desarrollados
más tarde mismos que no existen y constan únicamente de un listado de varios marcos de
referencia internacionales que pueden dar lugar a diferentes implementaciones, no
necesariamente interoperables. En la norma del 2010 a pesar de la categorización de la
funcionalidad estándar, no se detallaban lo suficiente en las características que representa
esa funcionalidad, por ejemplo en la sección de atención médica, capítulo de administración
de órdenes y resultados índice 1.1 Funcionalidad de administración de órdenes y
medicamentos establecía lo siguiente:
a) Debe permitir seleccionar medicamentos de un catálogo.
b) Debe mostrar el listado de medicamentos prescritos al paciente.
c) Debe permitir la captura de medicamentos reportados en alguna otra receta de la lista
ya existente.
d) Debe asegurar el llenado completo de los campos referentes a las instrucciones
generales, nombre del medicamento que se prescribe, dosis, vía de administración y
duración del tratamiento.
e) Debe mostrar problemas inactivos y/o resueltos.
f) Debe permitir la vinculación de las órdenes de medicamentos, con el inventario de
medicamentos de la farmacia para su suministro.
g) Se recomienda alertar al médico cuando está llenando la solicitud de medicamento si el
seguro médico no cubre o cubre parcialmente el tratamiento médico indicado.
No se cuenta con ninguna definición sobre alertas para la toma, identificación de
conflictos o interacciones con medicamentos previamente ordenados o inclusión de
instrucciones especiales para la toma.
En la siguiente sección nombraré algunos ejemplos de esfuerzos en el uso de ECE
que se han llevado a cabo en diferentes instituciones, donde podremos observar claramente
como hace falta trabajo de coordinación a nivel federal, entendiendo por ésta una estrategia
digital nacional que defina la dirección para que todas las dependencias trabajen hacia el
mismo objetivo.
109
10.4 Implementaciones Actuales
Los esfuerzos en materia de TICs referentes al uso de ECE en diferentes dependencias
tiene ya un largo camino recorrido, sin embargo los esfuerzos previos se perciben como
aislados dependiendo de cada institución y es hasta el sexenio pasado y el actual que inicia
un segundo aire de impulso a la implementación de ECE en las principales instituciones del
país.
Para fines de análisis consideraremos las siguientes instituciones públicas:
- IMSS: Instituto Mexicano del Seguro Social
- ISSSTE: Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado
- PEMEX: Petróleos Mexicanos
- SSA: Secretaría de Salud
Para cada uno desglosaremos lo esfuerzos que ha llevado a cabo para la
implementación o al menos la estructuración para implementar un ECE.
Secretaria de Salud
Da los primeros pasos al crear sistemas nacionales para registros de vigilancia
epidemiológica en 1995 y posteriores evoluciones [11]:
- Sistema Nacional de Vigilancia Epidemiológica (SINAVE)
- Sistema Único de Información para Vigilancia Epidemiológica (SUIVE)
- Sistema Único Automatizado de Vigilancia Epidemiológica (SUAVE)
Posteriormente en la creación del Seguro Popular éste buscó incluir el uso de tecnología a
través de diferentes esfuerzos [11]:
- 2001 – 2005 Tarjeta TUSALUD: Tarjeta utilizada para registrar personal inscrito
a seguro popular a través de un solo método. Se registraba tanto a beneficiarios como
farmacias afiliadas para la venta de medicamentos.
- 2000 – 2006 Sistema de Administración Hospitalaria (SAHO): Se enfocó en el uso
de software libre e inició el desarrollo del SAHO se definieron cuatro módulos
principales servicios médicos, servicios administrativos, administración de catálogos
y administración de agendas médicas. Cerca de 20 Hospitales utilizaron la
primera versión de este sistema.
- 2007 Norma Oficial Mexicana: La secretaría de salud inicia el desarrollo de la
norma para controlar al ECE considerando aspectos de interoperabilidad,
procesamiento, interpretación y seguridad de la información. Se planeó generar un
modelo de interoperabilidad entre 2007 y 2012.
110
ISSSTE
Siendo parte de las principales instituciones de salud en México fue también de las pioneras
en el desarrollo de ECE a través de los siguientes esfuerzos:
- 1991 Sistema Integral de Información Médica: Concentra información estadística
de atención hospitalaria
- 1975 Clínica de Detección y Diagnóstico Automatizado: Registro de historia clínica
en sistema
- 1995 Hospital 20 de Noviembre: Se adoptó el Sistema de Información
Hospitalaria (SIAH) interfaz basada en texto, contaba con diferentes módulos para
historial clínico, manejo de medicamentos, farmacia, laboratorio, trabajo social,
estadística y flujos en admisión continua, consulta externa.
IMSS
Es la principal institución de salud en México con más de 16 millones de afiliados.
Los esfuerzos en el uso de ECE son los siguientes [12]:
- 2002 Sistema de Medicina Familiar (SIMF): Especializado en la atención médica
de primer nivel, incluyendo laboratorio, imaginología y personal administrativo. [11]
- 2004 Se integró al SIMF módulo para consulta externa así como reportes estadísticos
para el Sistema de Información de Atención Integral a la Salud (SIAIS)
- 2004 Se inicia la implementación del Sistema de Información de Consulta Externa
en Hospitales (SICEH) para unidades de segundo y tercer nivel así como IMSS
Vista para control hospitalario
- 2006 SIMF cubre más del 90% de las unidades de primer nivel con uso sostenido a
partir de 2007
Módulos desarrollados:
- Manejo de agendas
- Historia clínica
- Auxiliares de diagnóstico y tratamiento
- Receta electrónica
- Referencia y contareferencia
- PrevenIMSS
- Trabajo social
- Hospitalización
111
- Urgencias
- Quirófano
- Enfermería
- Anatomía Patológica
Utilizan estándares de integración internacionales como HL7 y DICOM
- 2006 Creación de un Hospital Digital con la mejor tecnología disponible al momento
a través de la asociación con diferentes instituciones de tecnología (Intel,
Awarix, Deloitte, Cisco, HP, Microsoft y Phillips) integrando 17 sistemas
adicionales al SICEH, SIMF e IMSS Vista para incluir módulos de farmacia,
nutrición, colaboración, localización en tiempo real, fármaco vigilancia y
telemedicina.
PEMEX
Es la tercera institución de salud más grande del país, se encarga únicamente de cubrir los
servicios para los trabajadores de propios así como sus familiares. Cuenta con los
siguientes sistemas:
Sistema Institucional de Administración de Farmacia (SIAF): Inicia en 2003
Sistema Institucional de Administración Hospitalaria (SIAH): Maneja el control
administrativo en la integración de cuenta del paciente así como la integración de Guías
de Diagnóstico Terapéuticas
Progresión de Mejoras:
- 1997 Control de citas
- 2001 Nota Clínica
- 2003 Receta Electrónica
- 2004 Laboratorio, hospitalización y kioscos de información
- 2005 Quirófanos
- 2006 Imaginología y guías de práctica clínica
- 2007 Expediente Universal
- 2010 Carnet personal vía internet y módulo de vigilancia epidemiológica
- 2011 Imaginología digital y disponible vía web
112
Modelo de Asociación Público Privada
Desde el sexenio pasado los esquemas de Asociación Público Privada han tomado fuerza
para iniciativas en la construcción y substitución de Hospitales, bajo este esquema se ha
intentado replicar el ejemplo del “Hospital Digital” desarrollado por el IMSS con diferentes
resultados, aunque como se revisó anteriormente deben pasar entre 5 y 7 años para
observar los resultados más consistentes y maduros en la implementación de un ECE, en el
caso de un modelo de asociación público privada es probable que sea al menos 7 años ya
que bajo este esquema se tienen las siguientes características:
- La institución que solicita un Hospital en modelo APP solicita servicios,
equipamiento, sistemas y construcción o demolición.
- Las concesiones son de 20 a 25 años
El inversionista proveedor o desarrollador crea una asociación de propósito
específico para:
- Diseñar y Construir el nuevo hospital con base en los requerimientos de la - institución, en algunos casos el diseño ya existe.
- Operar los servicios solicitados en el hospital. Suelen solicitar entre 18 y 25.
- Equipar al hospital con base en los requerimientos de la institución
- Proporcionar e integrar los sistemas que abarquen las necesidades:
- ECE
- Sistemas de Laboratorio (LIS)
- Sistemas de Imaginología (RIS\PACS)
- Auxiliares de Diagnóstico y Tratamiento
- Administrativo (ERP)
Tal como el IMSS hizo con el modelo de “Hospital Digital” la idea de los APP es
integrar sistemas y equipos de tecnología de punta en Hospital que funcione de manera
integral para otorgar los mejores servicios posibles, sin embargo es precisamente en
estos esquemas donde se evidencia la falta de guía por parte de las autoridades para
encaminar la interoperabilidad.
Entre los hospitales construidos y operados bajo el esquema de APP se
incluyen los siguientes [13].
10.5 Conclusión
La adopción del ECE en México aún se encuentra en una etapa temprana, a pesar de que
existen diferentes iniciativas en las principales instituciones de salud del país los esfuerzos
no se encuentran coordinados por una agencia de nivel federal, al miso tiempo no se ha
creado un modelo de operación estándar y reglas de negocio de aplicabilidad general que
113
favorezcan la interoperabilidad de los diversos ECE en desarrollo. Ante la falta de una
estrategia federal, México aún carece de una dirección que permita unir los incipientes
sistemas hacia una consolidación de un expediente universal.
Por otra parte los diversos esfuerzos se han concentrado en software libre y
desarrollos internos que se han encargado de solucionar problemas de operación sin buscar
la creación de sistemas inteligentes capaces de apoyar las decisiones médicas así como la
creación de sistemas integrados que involucren amplias conexiones a los diferentes sistemas
de información específicos presentes comúnmente en un hospital (imagen,
laboratorio, nutrición, signos vitales, etc.).
De la misma forma, el esquema de asociación público privada para la creación de
hospitales digitales con alta integración tecnológica representa el esfuerzo más cercano a la
definición de modelos de operación integral que permitan el uso y desarrollo de ECE con
alta interoperabilidad, sin embargo hasta el momento no existen ejemplos de intercambio
de información entre distintos hospitales APP.
10.6 Referencias
[1] J. M. M. Hector Robledo Galvan, "De la idea al conceptoen la calidad en los servicios de
salud," Revista
CONAMED, vol. 17, no. 4, pp. 172-175, 2012.
[2] e. a. Ricardo Pérez Cuevas, "Evaluating qualitiy of care for patients with type 2 diabetes
using electronic health record information in Mexico," BMC. Medical Informatics and Decision
Making, 2012.
[3] T. Francis, "Electronic Health Records: Where we are and where we are going," Physician
Executive, pp.
82-84, August 2013.
[4] R. Rozemblum and Y. Jang, "A qualitative study of Canada's experience with the
implementation of electronic health information technology," Canadian Medical Association
Journal, pp. E281-E288, 22
March 2011.
[5] S. R. Eastaugh, "Electronic Health Records Lifecycle Cost," Journal of Healthcare Finance,
pp. 36-43,
2013.
[6] A. M. Ramirez, "Factores Inhibidores de la Calidad en los Servicios de Salud.Análisis
desde la perspectiva de los Hospitales privados y públicos.," Revista CONAMED, vol. 14, no.
4, pp. 5-14, Octubre 2009.
[7] SSA, "NOM-024-SSA3-2012 Sistemas de Información de registro electrónico para la
salud. Intercambio de información en salud," Diario Oficial de la Federación, pp. 79-96, 2012.
114
Apéndice A . Consejo Institucional. Universidad Mayor, Real y Pontificia de San Francisco
Xavier de Chuquisaca
Arízaga Cervantes- Wálter, Ing.
Rector de la Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca, Bolivia.
Rivero Zurita- Eduardo, Ing.
Vicerrector de la Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca,
Bolivia.
Palma Moreno- María Elena, PhD.
Dirección de Investigación Ciencia y Tecnológica de la Universidad Mayor, Real y Pontificia de
San Francisco Xavier de Chuquisaca, Bolivia.
Flores de Gonzáles- Mary, PhD.
Centro de Estudios de Posgrado e Investigación. Universidad Mayor, Real y Pontificia de San
Francisco Xavier de Chuquisaca, Bolivia.
115
Apéndice B . Consejo Editor ECORFAN-Bolivia
Elizabeth Eugenia Díaz Castellanos, PhD.
Instituto Tecnológico y de Estudios Superiores de Monterrey, México.
Díaz Castellanos-Elizabeth, PhD.
Instituto Tecnológico y de Estudios Superiores de Monterrey, México.
Liñan Cabello-Marco, PhD.
Universidad de Colima, México.
Sanchez Cano-Julieta, PhD.
Columbia University, New York, E.U.A.
Soria Freire-Vladimir, PhD.
Universidad de Guayaquil, México.
Bardey- David, PhD.
Universidad de Los Andes, Colombia.
Novelo Urdanivia- Federico, PhD.
Universidad Nacional Autónoma de México, México.
Alicia Girón, PhD
Universidad Nacional Autónoma de México, México.
Luis Felipe Beltran Morales, PhD.
Universidad de Concepción, Chile
Galicia Palacios- Alexander, PhD. Instituto Politécnico Nacional, México.
Verdegay-José, PhD.
Universidad de Granada, España.
Quiroz Muñoz- Enriqueta, PhD.
Instituto de Investigaciones Dr. José María Luis Mora, México.
Elizundia Cisneros- María, PhD.
Universidad Anahuac México Norte, México.
Alvarado Borrego- Aida, PhD.
Universidad de Occidente, México.
Moreno Zea- María, PhD.
Universidad de Santiago, de Chile.
Ordonez Aleman- Gladys, PhD.
Universidad Espíritu Santo, Ecuador.
116
Sajid-Muhammad, PhD.
University Faisalabad, Pakistan.
Cardozo-Francisco, PhD.
Universidad del Valle, Colombia.
Vargas-Oscar, PhD.
National Chengchi University, Taiwán.
Solís Soto- Teresa, PhD.
Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca, Bolivia.
Quintanilla Dominguez- Joel, PhD.
Universidad Politecnica de Madrid, España.
Nieva Rojas- Jefferson, PhD.
Universidad Autónoma de Occidente, Colombia.
117
Apéndice C . Comité Arbitral. ECORFAN-Bolivia
Jaliri Castellón- María Carla Konradis, MsC.
Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca.
Gómez Monge- Rodrigo, PhD .
Universidad Michoacana de San Nicolás de Hidalgo.
Salamanca Cots- Maria Rosa, PhD.
Universidad Anahuac.
ViteTorres- Manuel, PhD.
Instituto Politécnico Nacional.
Islas Rivera- Víctor Manuel, PhD.
Instituto Mexicano del Transporte.
Villalba Padilla- Fátima Irina, PhD.
Escuela Superior de Economía ESE-IPN.
Escaleta Chávez- Milka Elena, MsC.
Universidad Autónoma de San Luis Potosí.
Valdivia Altamirano- William Fernando, PhD.
Universidad Politécnica Metropolitana de Hidalgo.
Cobos Campos- Amalia Patricia, PhD.
Universidad Autónoma de Chihuahua.
Beltran Miranda- Claudia Patricia, PhD. Universidad de Guadalajara.
Linarez Placencia- Gildardo, PhD.
Universidad Tecnológica de San Luis Rio Colorado
Vázquez Olarra- Glafira, PhD.
Universidad Politécnica de Pénjamo
Lopez Ureta- Luz Cecilia, PhD.
Instituto Tecnologico Superior de Zapopan
Cervantes Rosas- María de los Ángeles PhD.
Universidad de Occidente.
Galaviz Rodríguez- José Víctor, PhD.
Universidad Tecnológica de Tlaxcala
Ordóñez Gutiérrez- Sergio Adrián, PhD.
Universidad Nacional Autónoma de México
118
Ruiz Aguilar- Graciela M.L., PhD.
Universidad de Guanajuato
González Gaxiola- Oswaldo, PhD.
Universidad Autónoma Metropolitana.
Gavira Durón- Nora, PhD.
Universidad Autónoma Metropolitana.
Rocha Rangel- Enrique, PhD.
Universidad Politécnica de Victoria.
Santillán Núñez- María Aída, PhD.
Universidad de Occidente.
Jiménez López- Victor Samuel, MsC.
Universidad Tecnológica Regional del Sur.
Rovirosa Hernandez- Ma. de Jesús, PhD.
Universidad de Veracruz.
Córdova Rangel- Arturo, PhD.
Universidad Politécnica de Aguascalientes.
Álvarez Echeverria- Francisco Antonio, MsC.
Universidad Nacional Autónoma de México.
Acosta Navarrete- María Susana, PhD.
Universidad Tecnológica del Suroeste de Guanajuato.
Pelayo Maciel- Jorge, PhD.
Universidad de Guadalajara
Guadarrama Gómez- Irma, MsC.
Universidad Tecnológica de la Riviera Maya.
Castillo Diego- Teresa Ivonne, PhD.
Universidad Tecnológica de la Mixteca.
Castro Enciso- Salvador Fernando, PhD.
Universidad Latina.
Liñan Cabello- Marco Agustin, PhD.
Universidad de Colima.
Manjarrez López- Juan Carlos, PhD.
Universidad Tecnológica de Puebla.
119
Ibarra Zavala- Darío Gualupe, PhD.
Universidad Nacional Autónoma de México.
Martínez García- Miguel Ángel. PhD.
Escuela Superior de Economía.
Trejo García- José Carlos, PhD.
Instituto Politécnico Nacional.
Deise Klauck, MsC.
Universidade Federal de Santa Catarina.
120